Medtronic, en tillverkare av pacemakers och implanterbara insulin pumpar, kommer inte att lösa säkerhetsproblem i sina produkter
@alexhern
Tors 9 Aug 2018 23.36 BST
Senast ändrad Tors 9 Aug 2018 23.37 BST
Säkerhet forskare har visat att vissa inopererade medicinska enheter som pacemaker och insulinpumpar kan vara hackad.
Foto: Ulrich Baumgarten/U. Baumgarten via Getty Images
Ett urval av inopererade medicinska enheter med nio nyupptäckta säkerhetsproblem kommer inte att fastställas av tillverkaren, trots möjligheten att, om det missbrukas, de svagheter som kan leda till personskador eller dödsfall.
I ny forskning som presenteras på Black Hat information security conference, ett par säkerhet forskare på distans funktionshindrade en implanterbar insulinpump, hindra det från att leverera de livräddande mediciner, och sedan tog total kontroll av en pacemaker system, som tillåter dem att skapa skadlig programvara direkt till datorer som implanteras i en patients kropp.
Jonathan Rumpor av QED Säkra Lösningar och Billy Kim Rios av Whitescope.io visat att hacka i en live-session, varning vem som helst med en inopererad medicinsk enhet att lämna rummet innan utfärdar inaktivera kommando till insulinpump.
Att ta kontroll över pacemakern, Rios och Rumpor gick upp i kedjan, hacka systemet att en läkare skulle använda för att programmera en patients pacemaker. Deras hacka skrev system för att ersätta bakgrunden med en illavarslande skull, men en riktig hacka kunde ändra systemet osynligt, och samtidigt se till att någon pacemaker kopplad till det skulle vara programmerad med skadliga instruktioner. “Man kan naturligtvis fråga en chock,” Rumpor sade, “men du kan också neka en chock.” Eftersom de enheter som är inopererad för en anledning, tillade han, undanhållande av behandling kan vara lika skadligt som aktiva försök att skada.
Hackad satellit-system skulle kunna lansera mikrovågsugn-liknande attacker, expert varnar
Läs mer
Paret kritiserade Medtronic, tillverkare av utrustning, för sitt svar till upptäckter. “Vi först rapporterade detta till tillverkaren 570 dagar sedan,” Rumpor sagt.
“Om 155 dagar sedan vi berättade för dem hur någon faktiskt kunde ta över,” Rios läggas till. Paret delade särskilda proof-of-concept attacker med företag, belyser den skada som kunde göras. “Månader sedan, slog vi till en vändpunkt och sa att det “nog är nog”, sade han, vilket fick dem att gå ut med sina erfarenheter på konferens.
Rumpor och Rios kritiserade också medtronics långsam reaktion och försök att tona ner brister. I sin it-säkerhet varningar, sade företaget att attackerna var inte möjligt på distans, och misslyckats med att fullt ut förklara hur omfattande det fanns brister. En bulletin varning om svaghet som Rios och Rumpor som används för att programmera om pacemakern, exempelvis, sa bara att en angripare “kan påverka” den data som skickas till sin programvara uppdatera systemet. “När någon blir detta rådgivande och de läser detta språk, det är nästan omöjligt för dem att förstå vilka riskerna är,” sade Rios.
Medtronic har sagt att det inte kommer att åtgärda de brister som har upptäckts, istället rekommendera patienter och läkare ta extra hand med nätverk ansluta enheter till. Företaget säger att den brister utgör en “låg (acceptabel)” risk för patientsäkerheten.
Suzanne Schwartz, en FDA-chef ansvarar för myndighetens it-säkerhet partnerskap, sade att fallet illustrerar en “lucka i ekosystemet.
Hacka risk leder till återkallande av 500,000 pacemaker på grund av att patienten död rädslor
Läs mer
“Tillverkarna befinner sig på olika platser i deras förmåga att svara,” Schwartz läggas till. “Slutligen vill vi att se till att dessa enheter, som ger den extra möjligheten för patienter att leva bra kvalitet liv, skyddas från angrepp.”
En talesman för Medtronic sade företaget hade “en oberoende bedömning” den potentiella sårbarheter lyfts fram av Whitescope och var “inte medveten om några ytterligare sårbarheter som de har identifierat vid denna tid”.
“Medtronic platser produkt säkerhet över alla överväganden,” företaget till. “Alla enheter medför en del risker, och, som lagstiftare, vi strävar kontinuerligt efter att balansera risker mot de fördelar som våra produkter ger.”