# Vulnerabilidade Crítica em Dispositivos da Fourth Frontier Expõe Dados de Pacientes A **CISA** emitiu um aviso sobre uma vulnerabilidade crítica que afeta o aplicativo móvel Frontier X e os dispositivos wearable Frontier X2 da **Fourth Frontier**. A exploração bem-sucedida poderia permitir que atacantes lessem e escrevessem valores de handle arbitrários, alterassem leituras clínicas e, em última instância, assumissem o controle do dispositivo, potencialmente levando a danos a pacientes. [Ver CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsma-26-148-01.json) ## Produtos Afetados As seguintes versões são afetadas: * Versões do aplicativo Frontier X para Android anteriores à v15.0.0 * Versões do aplicativo Frontier X para iOS anteriores à v25.0.0 * Frontier X2: Todas as versões | CVSS | Fornecedor | Equipamento | Vulnerabilidades | | :----- | :------------------ | :---------------------------------------------------------------------------------------------------------- | :------------------------------------------------- | | v3 8.8 | Fourth Frontier | Aplicativo Móvel Fourth Frontier Frontier X, Frontier X2 | Falta de Autenticação para Função Crítica | ### Contexto * **Setores de Infraestrutura Crítica:** Saúde e Saúde Pública * **Países/Áreas Implantados:** Mundialmente * **Localização da Sede da Empresa:** Estados Unidos --- ## Detalhes da Vulnerabilidade: CVE-2026-5768 O dispositivo Frontier X2 permite acesso de leitura/escrita não autenticado via Bluetooth Low Energy (BLE) a características GATT críticas sem impor autenticação de emparelhamento ou autorização. Isso permite que atacantes dentro do alcance do BLE realizem controle não autorizado das funções do dispositivo, incluindo iniciar/parar atividades, acionar vibrações, causar condições de negação de serviço e manipular valores de características para induzir comportamento inesperado. Além disso, o aplicativo móvel Frontier X carece de autenticação adequada do dispositivo BLE, permitindo que atacantes se passem por um dispositivo Frontier X2 legítimo e se conectem ao aplicativo. Ao clonar anúncios BLE e expor características GATT esperadas, os atacantes podem manipular estados de atividade e injetar telemetria de saúde fabricada, como frequência respiratória, frequência cardíaca, esforço e outros dados relacionados à saúde no aplicativo móvel. [Ver Detalhes do CVE](https://www.cve.org/CVERecord?id=CVE-2026-5768) --- ### Produtos Afetados **Fornecedor:** Fourth Frontier **Versão do Produto:** Aplicativo Frontier X para Android: <v15.0.0, Aplicativo Frontier X para iOS: <v25.0.0, Frontier X2: vers:all/* **Status do Produto:** known_affected **CWE Relevante:** [CWE-306 Falta de Autenticação para Função Crítica](https://cwe.mitre.org/data/definitions/306.html) --- ## Estratégias de Mitigação A **CISA** recomenda as seguintes medidas defensivas para minimizar o risco de exploração: * Minimizar a exposição de rede para todos os dispositivos e sistemas de controle, garantindo que não sejam acessíveis pela internet. * Localizar redes de sistemas de controle e dispositivos remotos atrás de firewalls e isolá-los de redes corporativas. * Quando o acesso remoto for necessário, usar métodos mais seguros, como Redes Privadas Virtuais (VPNs), reconhecendo que as VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais recente disponível. Reconhecer também que VPN é tão segura quanto os dispositivos conectados. * Realizar análise de impacto adequada e avaliação de risco antes de implantar medidas defensivas. A **CISA** incentiva as organizações a implementar estratégias de cibersegurança recomendadas para defesa proativa de ativos de ICS. Organizações que observarem atividades maliciosas suspeitas devem seguir os procedimentos internos estabelecidos e relatar as descobertas à **CISA** para rastreamento e correlação com outros incidentes. Atualmente, não há relatórios públicos conhecidos de exploração visando especificamente esta vulnerabilidade. A vulnerabilidade não é explorável remotamente. --- ## Agradecimentos Shakir Zari e Jerin Sunny relataram esta vulnerabilidade à **CISA**. --- ## Histórico de Revisão * **Data de Lançamento Inicial:** 2026-05-28 | Data | Revisão | Resumo | | :--------- | :------ | :---------------- | | 2026-05-28 | 1 | Publicação Inicial | --- ## Aviso Legal e Termos de Uso Este produto é fornecido sujeito a esta Notificação (https://www.cisa.gov/notification) e a esta política de Privacidade e Uso (https://www.cisa.gov/privacy-policy).