CVE-2026-9220
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Aplikacja Setracker2 Android Companion App w wersjach 3.1.5 i starszych szyfruje komunikację między zegarkiem a backendem przy użyciu statycznych, zakodowanych na stałe kluczy AES i wektorów inicjalizujących. Umożliwia to atakującemu odszyfrowanie ruchu sieciowego pochodzącego z zegarka Setracker2.
Ocena ryzyka
Odszyfrowanie ruchu może prowadzić do ujawnienia wrażliwych danych przesyłanych między urządzeniem a serwerem, takich jak lokalizacja czy dane osobowe użytkownika.
Rekomendacja
Należy niezwłocznie zaktualizować aplikację Setracker2 do najnowszej dostępnej wersji, która usuwa tę podatność, oraz unikać korzystania z wersji 3.1.5 i starszych.
Oryginalny opis (angielski, źródło NVD)
Setracker2 Android Companion App com.tgelec.setracker versions 3.1.5 and prior encrypts requests between the watch and its backend with static hardcoded AES keys and initialization vectors. This allows an attacker to decrypt Setracker2 watch traffic.

