Medtronic, en producent af pacemakere og implanterbare insulin pumper, vil ikke løse sikkerhedsproblemer i sine produkter
@alexhern
Tor 9 Aug 2018 23.36 BST
Sidst opdateret Fre 9 Aug 2018 23.37 BST
Sikkerhed forskere har påvist, at nogle implanterede medicinske enheder som pacemakere og insulinpumper kan være hacket.
Foto: Ulrich Baumgarten/U. Baumgarten via Getty Images
En række af implanterede medicinske enheder med ni nyligt opdaget sikkerhedshuller vil ikke blive rettet af producenten, på trods af muligheden for, at, hvis de misbruges, de svagheder, der kan føre til personskade eller død.
I ny forskning, der præsenteres på Black Hat information security conference, et par af sikkerhed forskere eksternt handicappede en implanterbar insulin pumpe, der forhindrer det i at levere den livreddende medicin, og så tog total kontrol over en pacemaker system, der giver dem mulighed for at levere malware direkte til de computere, der indopereres i patientens krop.
Jonathan Skod af QED Sikre Løsninger, og Billy Kim Rios af Whitescope.io vist hacks i en live session, advarsel, alle med en implanteret medicinsk enhed til at forlade lokalet, før den udsteder deaktivering kommando til insulin pumpe.
At tage kontrol over pacemakeren, Rios og Skod gik op i kæden, hacking systemet, at en læge ville bruge til at programmere en patients pacemakeren. Deres hack omskrev system til at erstatte baggrunden med et ildevarslende kraniet, men en reel hack kunne ændre systemet usynligt, og samtidig sikre, at enhver pacemaker, som er tilsluttet det ville være programmeret med skadelige instruktioner. “Du kan naturligvis udstede et chok,” Skod sagde, “men du kan også nægte et chok.” Fordi de enheder, der er indopereret for en grund, tilføjede han, tilbageholdelse i behandling, kan være lige så skadelig som aktive forsøg på at skade.
Hacket satellit-systemer kunne lancere en mikrobølgeovn-lignende angreb, advarer ekspert
Læs mere
Parret kritiseret Medtronic, producenten af enheder, for sit svar, at de opdagelser. “Vi skal først indberettes dette til producenten 570 dage siden,” Skod sagde.
“Omkring 155 dage siden vi fortalte dem, hvordan nogen kunne faktisk tage det over,” Rios tilføjet. Parret delte særlige proof-of-concept angreb med virksomheden, fremhæver de skader, der kunne være gjort. “Måneder siden, vi har ramt et vendepunkt, og sagde ‘nok er nok’,” sagde han, hvilket fik dem til at gå til offentligheden med deres erfaringer på konferencen.
Skod og Rios også kritiseret Medtronic ‘ s langsomme reaktioner og forsøg på at nedtone de svagheder. I sin cybersecurity indberetninger, selskabet sagde, at angrebene var ikke muligt på afstand, og ikke fuldt ud forklare, hvordan omfattende svagheder var. En bulletin advarsel om den svaghed, at Rios og Skod, der bruges til at omprogrammere pacemakeren, for eksempel, sagde kun, at en hacker “kan påvirke” de data, der er sendt til sin software update system. “Når nogen får denne rådgivende og de er ved at læse dette sprog, er det næsten umuligt for dem at forstå, hvad de risici, der er,” Rios sagde.
Medtronic har sagt, at det ikke vil lave de fejl opdaget, i stedet anbefale, at patienter og læger tage ekstra forsigtig med at de netværk, de tilslutte enheder til. Selskabet siger, at de fejl, som udgør en “lav (acceptabel)” risiko for patientsikkerheden.
Suzanne Schwartz, en FDA direktør, der er ansvarlig for agenturets cybersecurity partnerskaber, sagde, at casestudiet illustrerer et “hul i økosystemet.
Hacking risiko fører til tilbagekaldelse af 500.000 pacemakere på grund af patientens død frygt
Læs mere
“Producenter befinder sig forskellige steder i deres evne til at reagere,” Schwartz tilføjet. “I sidste ende ønsker vi at sikre, at disse enheder er, at give den ekstraordinære evne for patienterne at leve god kvalitet liv, er beskyttet mod angreb.”
En talsmand for Medtronic sagde, at selskabet havde “uafhængigt vurderet den potentielle sårbarheder fremhævet af Whitescope og var “ikke er opmærksom på eventuelle yderligere sårbarheder, at de har identificeret på dette tidspunkt”.
“Medtronic steder produkt sikkerhed frem for alt andet,” tilføjede virksomheden. “Alle enheder bære nogle dermed forbundne risiko, og, som lovgivere, vi hele tiden stræber efter at afbalancere risici mod fordelene vores enheder.”