Analitycy znaleźli potencjalnie zagrażającą życiu usterkę w defibrylatorach Medtronic Cardio

Agencja ds. Cyberbezpieczeństwa i Zabezpieczenia Infrastruktury (CISA) amerykańskiego Departamentu Bezpieczeństwa Narodowego wydała pilne zawiadomienie dotyczące defibrylatorów serca firmy Medtronic. Analitycy wykryli w warstwie sprzętowej urządzenia krytyczne luki, które, w przypadku wykorzystania, mogły zagrozić życiu pacjenta.
O ile dawniej wprowadzenie modyfikacji w defibrylatorze wymagało otwarcia ciała pacjenta, to współczesne – bardziej zaawansowane – urządzenia mogą być obsługiwane zdalnie. Stwarza to jednak ogromne problemy w przypadku, gdy sprzęt jest wadliwy.
 
Urządzenie, o którym mowa, daje możliwość bezprzewodowego programowania, kalibrowania i nadzorowania. Według analityków, zastrzeżony protokół komunikacyjny firmy Medtronic, wykorzystywany w komunikacji z wszczepionymi urządzeniami, nie jest szyfrowany, co pozwala na ataki typu man-in-the-middle  (podsłuchiwanie, filtrowanie danych). Protokół nie zawiera również uwierzytelniania, co oznacza, że zmotywowany napastnik może próbować włamać się do implantu za pomocą specjalnie przystosowanego sterownika.
 
Z porad CISA:
  • Nie podłączaj nieuwierzytelnionych urządzeń do monitorów domowych i programatorów przez porty USB lub inne łącza fizyczne.
  • Korzystaj wyłącznie z programatorów dedykowanych dla wszczepionego urządzenia i zezwalaj na interakcję z nimi jedynie w pozostających pod fizyczną kontrolą szpitalach i klinikach.
  • Używaj monitorów domowych jedynie w środowisku prywatnym, takim jak dom, mieszkanie lub inna kontrolowana fizycznie przestrzeń.
  • Utrzymuj stałą kontrolę fizyczną nad monitorami domowymi i programatorami.
  • Używaj wyłącznie monitorów domowych, programatorów i implantów pochodzących bezpośrednio od swojej jednostki opieki zdrowotnej lub przedstawiciela firmy Medtronic, co zapewni integralność systemu.
  • Wszelkie spostrzeżenia dotyczące zachowania tych urządzeń zgłaszaj swojemu lekarzowi lub przedstawicielowi firmy Medtronic.
 
Pomyślne wykorzystanie tych luk może pozwolić atakującemu, w którego pobliżu znajduje się pacjent z wszczepionym urządzeniem, na zakłócanie, generowanie, modyfikowanie lub przechwytywanie ruchu odbywającego się przez kanał radiowy z wykorzystaniem zastrzeżonego systemu telemetrycznego Conexux firmy Medtronic, potencjalnie wpływając na funkcjonowanie urządzenia i/lub uzyskując dostęp do przesyłanych wrażliwych danych… Skutkiem udanego wykorzystania tych luk może być odczyt i zapis dowolnego obszaru pamięci wewnętrznej implantowanego aparatu, a tym samym celowy wpływ na realizację wybranej funkcji”.
 
Ponieważ zadaniem defibrylatora jest zapewnienie prawidłowej akcji serca, więc każda ingerencja w jego zachowanie może zagrażać życiu pacjenta. CISA przedstawiła pacjentom, w których klatkach piersiowych znajdują się urządzenia Medtronic.
 
Marken Systemy Antywirusowe – przedstawiciel marki Bitdefender w Polsce (https://bitdefender.pl), daje użytkownikom następującą listę koniecznych do przestrzegania środków ostrożności:
 
W oświadczeniu dla Ars Technica, Medtronic zbagatelizował zarzuty, że luki w jego sprzęcie są poważne, ale też im nie zaprzeczał.
 
Przedstawiciel firmy, Ryan Mathre, informuje media, że ryzyko wykorzystania luk w zabezpieczeniach jest niskie, ponieważ „nieautoryzowany użytkownik potrzebowałby kompleksowej i specjalistycznej wiedzy na temat urządzeń medycznych, telemetrii bezprzewodowej i elektrofizjologii, aby wykorzystać te luki i zaszkodzić pacjentowi”.
 
W każdym razie, powiedział Mathre, Medtronic pracuje nad aktualizacją sprzętu, którą planuje wprowadzić jeszcze w tym roku.
źródło: Bitdefender

Dodaj komentarz

%d bloggers like this: