CVE-2025-32875

Nome do Software Vulnerável e Versões Afetadas: Versões 3.8.12 e anteriores do aplicativo COROS

Descrição: A questão diz respeito ao gerenciamento de pareamento e vinculação (bonding) Bluetooth pelo aplicativo COROS. O aplicativo não inicia nem exige pareamento e vinculação, e o relógio também não impõe essas medidas de segurança. Como resultado, os dados transmitidos via Bluetooth Low Energy (BLE) permanecem não criptografados, permitindo que atacantes dentro do alcance interceptem a comunicação. Mesmo que um usuário inicie manualmente o pareamento e a vinculação nas configurações do Android, o aplicativo continua a transmitir dados sem exigir que o relógio esteja vinculado, permitindo que atacantes explorem a comunicação. Isso pode ser utilizado para conduzir um ataque ativo de "machine-in-the-middle".

Recomendações: Para as versões 3.8.12 e anteriores, como solução alternativa temporária, considere desativar a funcionalidade Bluetooth no aplicativo COROS até que um patch esteja disponível. Restrinja o acesso a dados sensíveis transmitidos via BLE para minimizar o risco de exploração. Evite utilizar o aplicativo COROS para comunicações sensíveis até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.