DCRainmaker — najbardziej wpływowy recenzent sprzętu sportowego na świecie — opublikował szczegółową analizę luk bezpieczeństwa w produktach marki COROS. Wnioski są alarmujące: problemy określono jako „tak poważne, jak to tylko możliwe”. Co gorsza, podatności dotyczyły praktycznie każdego modelu w ofercie producenta.

Co się stało?

Latem 2025 roku badacz bezpieczeństwa Moritz Abrell zidentyfikował krytyczne błędy w ekosystemie COROS. Nie mówimy tu o drobnej usterce w aplikacji, lecz o lukach w samej architekturze systemu. Problem obejmował komunikację między zegarkiem a smartfonem, proces synchronizacji danych oraz mechanizmy uwierzytelniania użytkowników.

Skala zaniedbań była tak duża, że COROS musiał wdrożyć co najmniej sześć fundamentalnych zmian konstrukcyjnych. To nie była zwykła poprawka, którą można przygotować w kilka minut, lecz gruntowna przebudowa sposobu, w jaki zegarek wymienia informacje z telefonem i serwerami firmy.

Reakcja producenta: Od ignorancji do pełnej współpracy

Początkowo reakcja COROS pozostawiała wiele do życzenia. Według relacji DCRainmakera firma zignorowała pierwsze zgłoszenia badacza. Dopiero pod naciskiem opinii publicznej i ekspertów sprawę potraktowano priorytetowo.

Na pochwałę zasługuje jednak dalszy przebieg naprawy:

  • Wydano aktualizacje oprogramowania układowego (firmware) dla wszystkich dotkniętych modeli.
  • Uruchomiono dedykowaną stronę wsparcia z listą wersji oprogramowania, które gwarantują bezpieczeństwo.
  • Producent umożliwił badaczowi publiczną prezentację wyników na konferencji bezpieczeństwa (po skutecznym wdrożeniu poprawek).

Co to oznacza dla użytkowników w Polsce?

Jeśli korzystasz z zegarka COROS (szczególnie popularnych modeli PACE 3 czy COROS DURA), musisz niezwłocznie sprawdzić wersję oprogramowania.

Jak to zrobić?

  1. Otwórz aplikację COROS na telefonie.
  2. Przejdź do: Ustawienia → Urządzenie → Wersja firmware.
  3. Porównaj swój numer wersji z listą na oficjalnej stronie wsparcia COROS.
  4. Jeśli system proponuje aktualizację — zainstaluj ją natychmiast.

Problem dotyczy niemal wszystkich urządzeń, z wyjątkiem najstarszych generacji (APEX 42/46mm gen. 1, Kiprun 500 oraz PACE 1).

Szerszy kontekst: Twoje dane to nie tylko kilometry

Ta sytuacja przypomina nam o czymś, o czym często zapominamy: zegarek sportowy wie o Tobie więcej niż większość aplikacji w telefonie. Tętno spoczynkowe, parametry HRV, wzorce snu i precyzyjne trasy biegowe (często zaczynające się pod Twoim domem) to dane wrażliwe. W niepowołanych rękach mogą stać się narzędziem nadużyć.

Garmin wyciągnął lekcję z potężnego ataku ransomware w 2020 roku, inwestując od tego czasu miliony w cyberbezpieczeństwo. COROS, jako mniejszy i dynamicznie rozwijający się gracz, przechodzi właśnie swój „chrzest bojowy”.

Dla nas, sportowców, wniosek jest prosty: regularna aktualizacja oprogramowania to nie luksus, a konieczność. Wybierając sprzęt, zwracajmy uwagę nie tylko na czas pracy baterii czy precyzję GPS, ale także na to, jak producent chroni naszą prywatność.

Świetny tekst, bardzo „klikalny” i pożyteczny. Czy chciałbyś, abym przygotował teraz krótkie zestawienie (tabelę) porównującą podejście Garmina i Coros do bezpieczeństwa na przestrzeni ostatnich lat?