There’s a Major Security Issue With Coros Fitness Trackers

01.07.2025 22:00

Lifehacker.com

If you thought Strava's privacy issues were bad, strap in: Coros has confirmed some major security issues with its watches. During an analysis of Coros Pace 3 Bluetooth security, German IT security researchers identified at least eight distinct security flaws that affect every Coros device on the market—not just the Pace 3 model, as was first believed. After an initially lackluster response, Coros has since entered damage control mode, and is promising fixes by the end of summer.

How Bluetooth makes Coros watches vulnerable

The vulnerabilities stem from fundamental issues in the Bluetooth connectivity code shared across all Coros watches and their bike computer, creating a security nightmare that impacts the company's entire product lineup.

By exploiting these security flaws, an unauthenticated attacker within Bluetooth range can perform the following actions:

Hijack user accounts and access all stored fitness data on COROS.com
Eavesdrop on sensitive information including text messages and notifications
Manipulate device settings remotely without user knowledge
Factory reset devices from a distance, wiping all user data
Crash devices during critical moments
Interrupt active workouts and force the loss of recorded fitness data

If you're interested in diving into the specific coding and architectural issues at play here, I highly recommend taking a look at the original blog post outlining the problem. Perhaps most concerning is the ability for attackers to inject false information, such as fake text notifications, while simultaneously monitoring all genuine messages and notifications sent to the watch.

When alerted to these massive security holes, Coros initially seemed less than alarmed. The security researchers followed standard industry protocol, privately disclosing the vulnerabilities with the company and providing a 90-day window for it to provide fixes before going public. At first, the company indicated that fixes wouldn't arrive until the end of 2025—a less than urgent response. Only after the vulnerabilities were publicly disclosed on June 17th, 2025, complete with detailed reproduction steps and exploit code, did Coros begin taking the situation seriously.

What Coros users need to do

The company has now accelerated its timeline, promising partial fixes by the end of July and complete resolution by August.

The initial response from Coros appears to have treated these critical security flaws as routine bugs, which might be chalked up to inexperience: Though the issues are concerning, this does appear to be the company's first major security incident,. Gadget reviewer DC Rainmaker—the same reporter responsible for escalating this issue to Coros in the first place—posits that after this, Coros will likely have better public channels and internal processes in place for tackling future security issues.

But that issue aside, what do you need to do if you own an affected device?

In a Reddit comment, Coros says if your watch is up to date, there’s nothing you need to do right now. But when their next software updates are available in July and August, you should update your watch immediately to fix these vulnerabilities. Unfortunately, there are no effective workarounds to mitigate the vulnerabilities in the meantime, as they're embedded in the devices' Bluetooth communication protocols.

The bottom line

Even if you aren't a Coros user, it's important to remember that all fitness wearables, despite their seemingly benign nature, can become significant security liabilities. These devices often have access to highly personal information—from health data and location tracking to text messages and notifications—making them attractive targets for hackers. As our wearables become increasingly sophisticated and connected, it's more important than ever to stay on top of best security practices.

And if you are a Coros user, make sure you install any and all July and August updates as soon as they are released.

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Life24.pro

Благополучие на двоих

Свадьба века: Джеф Безос и Лорен Санчес поженились. Как многодетная телеведущая сердце олигарха покорила

Почему мы болеем на море: гастроэнтеролог Садыков назвал настоящие причины летних отравлений

Сотрудники Московского филиала успешно прошли аттестацию на знание инструкций по ремонту колесных пар

Today24.pro

Fed official sees July rate cut ‘unlikely,’ sticking with Powell’s view that coming months will be moment of truth for tariffs’ effect on inflation

Thai court suspends prime minister as it probes ethics case

Zillow CEO Jeremy Wacksman is using AI to transform the real estate industry—for buyers, sellers, and agents

Arsenal close in on the signing of ‘world class’ target after making major breakthrough

News24.pro

"Пришла — берут за горло": пациентка до сих пор в шоке от визита к хирургу Фазилу Муртузаеву.

Большой дворец (Петергоф)

Продолжается поиск источников финансирования для строительства третьего этапа Восточной эстакады в Калининграде

Linx Cloud вошел в топ-10 провайдеров в рейтинге IaaS Enterprise

Game24.pro

Diablo 4 has finally given dungeons their teeth back and the loot hunt has never been more satisfying

Полный гайд по Нижнему миру в Minecraft 1.21.6

'Give me more of that': Monster Hunter Wilds players have discovered its returning monsters got hands, and they're thrilled to be getting clobbered

Facebook users say they've caught the app analyzing their camera roll with Meta AI⁠ without their knowledge—here's how to make sure it doesn't happen

Russia24.pro

Ловим лето за хвост: как улететь в отпуск, когда билетов почти нет

Библиотеки надо обновлять

Концертное Агентство. Концертное агентство в Москве.

Температурный всплеск: синоптик Вильфанд предупредил о жаре, которая резко накроет Москву

Другие проекты от SMI24.net

News-life

Международный форум «Беспилотные системы: технологии будущего» пройдет в Москве

Москва пережила самый холодный 1 июля за 63 года: всего 14,3 градуса тепла

Туман в Сибири: более 30 рейсов задержаны в аэропортах Новосибирска и Кемерова

«Чемпионат»: «Динамо» близок к подписанию Сергеева

Ru24.net

Александр Тырлов: артист, педагог, настоящий мужчина

Международный форум «Беспилотные системы: технологии будущего» пройдет в Москве

МВД предложило снимать мигрантов с учёта при отсутствии геолокации

Захарова: Лавров проведет в пятницу переговоры с главой МИД Саудовской Аравии

News.tennis

Мария Шарапова показала трогательное фото с сыном от британского миллионера

Медведев: Я удивлен уровнем Бонзи

«Не так уж и волнуюсь»: Медведев спокойно воспринял вылет в первом круге Уимблдона, Рублёва выручил соперник

Рублев: Матч против Харриса в целом был супертяжелым

29ru.net

Введенный талибами флаг Афганистана повесили над посольством в Москве

Спасти Армению сможет только Россия – укро-политолог

Александр Тырлов: артист, педагог, настоящий мужчина

Международный форум «Беспилотные системы: технологии будущего» пройдет в Москве

Музыкальные новости

Poisk-music.ru

Лучшие музыканты России выступят в Удмуртии на фестивале «На Родине П.И. Чайковского»

Новые игроки на российском рынке: кто и зачем регистрирует бизнес в 2025 году?

«Виртуозы Москвы» представят программу «Бах. Вивальди. Путь к свету» в Московской консерватории

Обложка песни. Обложки альбомов песен.

Ria.city

Ловим лето за хвост: как улететь в отпуск, когда билетов почти нет

Библиотеки надо обновлять

Концертное Агентство. Концертное агентство в Москве.

Температурный всплеск: синоптик Вильфанд предупредил о жаре, которая резко накроет Москву

Rss.plus

Брестский «Строитель» выиграл Кубок Беларуси по хоккею на траве

Компания РусГидро окончательно переехала в Красноярск

Совещание по развитию транспорта: Путин дал правительству ряд поручений

Туман в Сибири: более 30 рейсов задержаны в аэропортах Новосибирска и Кемерова

Auto.russia24.pro

Лοндοн вɜбeшeн ɜaявлeниями Πутинa и угpοжaeт Ροccии «дοпοлнитeльным дaвлeниeм»

Один из экстренно приземлившихся в Барнауле самолетов оказался неисправен

На МКАД легковушка заискрилась после кульбита, и это попало на видео

Грузовик загорелся на 76-м километре МКАД

Putin.russia24.pro

Путин предложил променять "счастье" на белорусскую картошку

Путин потребовал определить сроки экспертизы проекта ВСМ Москва — Петербург

Ушаков: Путин и Трамп не обсуждали содержание следующего раунда переговоров Москвы и Киева

Лοндοн вɜбeшeн ɜaявлeниями Πутинa и угpοжaeт Ροccии «дοпοлнитeльным дaвлeниeм»

Health.russia24.pro

Терапевт Кондрахин рассказал, при каких заболеваниях могут возникнуть судороги

Косметолог-эстетист Наталья Рябинова: как правильно использовать SPF летом

Предприятие холдинга «Швабе» стало лучшим по укреплению здоровья сотрудников в Вологодской области

Утвержден обвинительный акт в отношении студента из КНР обвиняемого в контрабанде в США культурных ценностей – раковины вымершего молюска

Zelensky.russia24.pro

Economist: Трамп остановил поставки оружия Киеву из-за неприязни к Зеленскому

"Сигнал Зеленскому": в Киеве назвали четыре версии критического решения США

«Ποcлe κaждοй вcтpeчи Зeлeнcκοгο c Τpaмпοм cтaнοвитcя тοльκο xужe!» – Ƃepeɜa

Sport.russia24.pro

В Симферополе министр спорта Республики Крым вручила благодарности спортсменам по кикбоксингу

В Чили подтвердили, что команда сыграет со сборной России в ноябре в Москве

Прелюдия к Всемирным играм

Хоккеист НХЛ Артемий Панарин пошутил, пытаясь оплатить проезд старой Nokia

Lukashenko.russia24.pro

Путин поздравил Лукашенко и белорусский народ с Днем Независимости, сообщили в пресс-службе белорусского лидера

Путин поздравил Лукашенко с Днем независимости Белоруссии

Путин поздравил Лукашенко с Днём независимости Беларуси

Лукашенко: Запад решил свои долги и проблемы сжечь в мировом пожаре

Person.russian.city

Сергей Собянин открыл новый корпус Московского научно-клинического центра

Собянин открыл в Москве выставку о великом князе Сергее Александровиче

Собянин объявил о завершении основных работ по модернизации Боткинской больницы

Собянин рассказал о достижениях учащихся столичных школ искусств

Ecology.russia24.pro

Проект по модернизации Волжско-Камского каскада представили в Москве

ГК ТОЧНО и питомник декоративных растений «Экоплант» подписали соглашение о сотрудничестве

Нидерланды и Дания уйдут под воду: что скрывают тайные писания Ватикана

Страдает не только Москва — и это не сулит ничего хорошего: почему европейская часть России замерзала в начале лета

29ru.net

Введенный талибами флаг Афганистана повесили над посольством в Москве

Международный форум «Беспилотные системы: технологии будущего» пройдет в Москве

В Универсаме №40 в Зеленограде, 1 сентября 1985 года, Москва

В Азербайджане обеспечили консульский доступ к задержанным россиянам

Severodvinsk.ws

В Архангельской области намерены создать региональный маркетплейс

Защищённый планшет промышленного класса Saotron RT-W11

В Архангельске построят инновационный кампус «Арктическая звезда»: проект одобрен Главгосэкспертизой

В России резко выросли тарифы ЖКУ

Sevpoisk.ru

Чесменский бой - триумф российского флота

Массовый сбой произошел "ВКонтакте"

Погода 3 июля: пасмурно, днём до +29

В Симферополе министр спорта Республики Крым вручила благодарности спортсменам по кикбоксингу

103news.com

В Универсаме №40 в Зеленограде, 1 сентября 1985 года, Москва

Захарова: Лавров проведет в пятницу переговоры с главой МИД Саудовской Аравии

Международный форум «Беспилотные системы: технологии будущего» пройдет в Москве

В Азербайджане обеспечили консульский доступ к задержанным россиянам

Агрегатор новостей 24СМИ