Medtronic, en produsent av pacemakere og implanterbare insulin pumper, vil ikke løse sikkerhetsproblemer i sine produkter
@alexhern
Tor 9 Aug 2018 23.36 BST
Sist endret på Tor 9 Aug 2018 23.37 BST
Security forskere har vist at noen medisinske enheter, som pacemakere og insulin pumper kan bli hacket.
Foto: Ulrich Baumgarten/U. Baumgarten via Getty Images
Et utvalg av implantert medisinsk utstyr med ni nylig oppdagede sikkerhetsproblemer vil ikke bli løst av produsenten, til tross for muligheten for at, hvis misbrukt, svakheter som kan føre til personskade eller død.
I ny forskning presentert på Black Hat information security conference, et par av security forskere eksternt deaktivert en implanterbar insulin pumpe, og hindrer den fra å levere livreddende medisiner, og så tok fullstendig kontroll over en pacemaker system, som tillater dem å levere malware direkte til datamaskiner implantert i pasientens kropp.
Jonathan Rumper av QED Sikre Løsninger og Billy Kim Rios av Whitescope.io viste hacks i en live-session, advarsel alle med en implantert medisinsk enhet til å forlate rommet før utstedelse av deaktivere kommandoen til insulin pumpe.
Å ta kontroll over pacemakeren, Rios og Rumper gikk opp i kjeden, hacking systemet at en lege ville bruke til å programmere en pasient er pacemaker. Deres hack skrevet om systemet til å bytte ut bakgrunnen med en illevarslende skallen, men en ekte hack kunne endre systemet usynlig, og samtidig sikre at alle pacemaker koblet til det ville være programmert med skadelig instruksjoner. “Du kan selvsagt problemet et sjokk,” Rumper sa: “men du kan også nekte et sjokk.” Fordi enhetene er det for en grunn, la han til, tilbakeholdt behandling kan være like skadelige som aktive forsøk på å skade.
Hacket satellitt-systemer kunne starte mikrobølgeovn-lignende angrep, ekspert advarer
Les mer
Paret kritisert Medtronic, produsenten av enheter, for sitt tilsvar til funn. “Vi første rapporterte dette til produsenten 570 dager siden,” Rumper sa.
“Om 155 dager siden vi fortalte dem hvordan noen kunne faktisk ta det over,” Rios lagt til. Paret delte bestemt proof-of-concept angrep med selskapet, fremhever den skade som kan gjøres. “For noen måneder siden, traff vi et vendepunkt og sa “nok er nok”,” sa han, og oppfordrer dem til å gå ut offentlig med sine erfaringer på konferansen.
Rumper og Rios også kritisert Medtronic er treg respons og forsøk på å nedtone svakheter. I sin cybersecurity varsler selskapet sa at angrepene ikke var mulig eksternt, og klarte ikke å fullt ut forklare hvordan omfattende svakheter var. En bulletin advarsel om den svakhet at Rios og Rumper brukes til å omprogrammere pacemakeren, for eksempel, sa bare at en angriper “kan påvirke” dataene som er sendt til sin programvare-oppdatering system. “Når noen får denne veiledningen og de leser dette språket, er det nesten umulig for dem å forstå hva risikoen er,” Den sa.
Medtronic har sagt det vil ikke fikse feil som er oppdaget, i stedet anbefale pasienter og leger må du være ekstra forsiktig med nettverk de koble enheter til. Selskapet sier de mangler som utgjør en “lav (akseptabelt)” fare for pasientens sikkerhet.
Suzanne Schwartz, en FDA-direktør ansvarlig for byråets cybersecurity partnerskap, sa at case-studie illustrerer et “gap i økosystemet.
Hacking risiko fører til tilbakekall av 500,000 pacemakere på grunn av pasientens død frykt
Les mer
“Produsenter befinner seg på forskjellige steder i deres evne til å svare,” Schwartz lagt til. “Til syvende og sist ønsker vi å sørge for at disse enhetene, som gir den ekstraordinære muligheten for pasientene til å leve gode liv kvalitet, er beskyttet mot angrep.”
En talsmann for Medtronic sa selskapet hadde “uavhengig vurdert” den potensielle sårbarheter fremhevet av Whitescope og var ikke klar over eventuelle andre sikkerhetsbrudd de har identifisert på denne tiden”.
“Medtronic steder produktsikkerhet over alle hensyn,” selskapet lagt til. “Alle enheter bærer noen risiko forbundet, og, som regulatorer, vi jobber kontinuerlig med å balansere risiko mot fordeler våre enheter sørger for.”