Foto: Medtronic
Den Department of Homeland Security Cybersecurity og Infrastruktur Security Agency har utstedt et varsel om at noen Medtronic implantert defibrillator inneholde sikkerhetshull som ville tillate dem utnyttet av angripere som hadde den rette kunnskapen på enhetene og nærhet til en person som innehar en. Star Tribune rapporterte torsdag at så mange som 750,000 enheter som kan være sårbare.
Implantert defibrillator er små enheter som bidrar til å forhindre potensielt dødelig hjerte-problemer ved å administrere elektriske støt til å behandle uregelmessig hjerteslag. Byrået sa torsdag at hvis utnyttet sårbarheter i noen Medtronic ville føre til at en angriper til å fange opp og potensielt påvirke funksjonaliteten av visse modeller av defibrillatorer og overvåking enheter.
Ifølge Ars Technica, sårbarheter ble flagget til Medtronic i januar i fjor av forskere med sikkerhetsselskap Smart Security, som gjorde en rekke alarmerende funn:
En proof-of-concept angrep utviklet av forskerne var i stand til å ta kontroll over den implanterte enheter på en måte som tidligere usett i de fleste bedriftene som påvirker livreddende medisinsk utstyr. Med fysisk tilgang til enten en MyCareLink eller CareLink konsollen, forskere kunne gjøre endringer som ville trekke pasientens navn, lege navn, og relevante telefonnumre ut av enheten og gjøre uautorisert og potensielt fatale endringer i sjokk enheter levert. Enda mer imponerende, angrepet var i stand til å lese og skrive om alle firmware brukt til å drive implantatet.
DHS er oppført mer enn et dusin Medtronic hjerte-enheter som er berørt av feil—inkludert implanterbar cardioverter defibrillator og cardiac resynchronization therapy defibrillator—men selskapet sa at de ikke påvirker andre Medtronic enheter, for eksempel pacemaker.
Medtronic sa i en uttalelse til Gizmodo at det er for tiden ute til uvanlig eller uautorisert aktivitet knyttet til sårbarhet, men at det har funnet ingen hendelsen for vellykket utnyttelse av feilene opp til dette punktet. Selskapet legges det er å jobbe på sikkerhetsoppdateringer for feil, den første som sa det skulle komme senere i år.
Til tross for den føderale advisory, bedriftens VP av medisinske saker Robert Kowal fortalte Star Tribune at sårbarhet “ville være svært vanskelig å utnytte til å lage skade.” DHS har også bemerket at en angriper må ha “kort rekkevidde tilgang” til en av de berørte Medtronic enheter til å dra av en bedrift, en avstand Kowal avisa ville beløpe seg til i løpet omtrent 20 meter.
I en uttalelse via e-post, en talsperson for Medtronic sa at både det og Food and Drug Administration “anbefaler at pasienter og leger fortsette å bruke utstyr og teknologi som foreskrevet og som er ment, da dette gir den mest effektive måten å behandle pasienter” enheter og hjertesykdommer.”
I henhold til Medtronic, pasienter bør også bare bruke defibrillator overvåking enheter gitt til dem ved enten Medtronic eller lege. Selskapet har også rådet folk til å holde “god fysisk kontroll” over sine skjermer og unngå å knytte dem til ikke-godkjente enheter.
[DHS via Star Tribune, Ars Technica]
Deler Denne Historien