Предупреждение FDA Множество сердечных имплантатов можно взломать с 20 футов

США предупреждают о серьезном недостатке безопасности, влияющем на беспроводную связь в сердечных имплантатах.

Лиам Тунг | 22 марта 2019. 11:49 GMT (04:49 PDT) | Тема: Безопасность

Правительство США выпустило предупреждение о критическом недостатке, затрагивающем множество дефибрилляторов сердца Medtronic, который позволяет ближайшему злоумышленнику изменять настройки сердечного устройства пациента, манипулируя радиосвязью между ним и контрольными устройствами.

Безопасность

Основная проблема заключается в фирменном протоколе радиочастотной беспроводной телеметрии Conexus компании Medtronic, который используется в качестве части его системы дистанционного управления пациентом для связи между дефибрилляторами, устройствами для наблюдения за домом и устройствами программирования для врачей.

Читайте так же

Apex Legends Mobile ПРЕДУПРЕЖДЕНИЕ! Остерегайтесь ... APEX LEGENDS Mobile, по всей видимости, появится в будущем на телефонах iOS и Android, но в то же время фанаты должны знать о распространении поддельн...
Предупреждение о повышении цен на BT — с сег... По сути, планы растут от 1 до 4 фунтов стерлингов в месяц в зависимости от услуг, подписанных клиентами. Те, кто оплачивает предложения BT Classic, E...
Gmail добавляет множество новых функций в своем ме... Пользователи Gmail, обратите внимание. Google собирается добавить множество новых действий в свое меню, вызываемое правой кнопкой мыши, для писем в па...

Исследователи обнаружили, что в протоколе Conexus отсутствует какая-либо форма аутентификации, а это означает, что злоумышленник в пределах радиуса действия. примерно в 20 футах от сердечного устройства пациента. может вводить, воспроизводить, изменять и перехватывать данные телеметрии.

А поскольку протокол Conexus позволяет управляющим устройствам удаленно считывать и записывать память в сердечные имплантаты, соседний злоумышленник с программно-определяемой радиостанцией может также использовать отсутствие аутентификации протокола для перепрограммирования сердечного устройства.

В соответствии с рекомендациями Департамента внутренней безопасности (DHS), уязвимости, CVE-2019-6538, был присвоен уровень серьезности CVSS 9,3 из 10 возможных.

Управление по контролю за продуктами и лекарствами США заявляет, что оно «подтвердило, что эти уязвимости, в случае их использования, могут позволить неавторизованному человеку (например, кому-либо, кроме врача пациента) получить доступ и потенциально манипулировать имплантируемым устройством, домашним монитором или программистом клиники». «

Второй недостаток меньшей степени тяжести, влияющий на протокол Conexus, представляет потенциально серьезную угрозу конфиденциальности пациентов, поскольку данные, передаваемые между сердечными и контрольными устройствами, выполняются в открытом виде. Опять же, злоумышленник с радиооборудованием может перехватить связь, чтобы узнать о конкретном состоянии человека.

В своих рекомендациях Medtronic подчеркивает, что телеметрия Conexus не используется в кардиостимуляторах.

Читайте так же

Предупреждение о повышении цен на BT — с сег... По сути, планы растут от 1 до 4 фунтов стерлингов в месяц в зависимости от услуг, подписанных клиентами. Те, кто оплачивает предложения BT Classic, E...
Gmail добавляет множество новых функций в своем ме... Пользователи Gmail, обратите внимание. Google собирается добавить множество новых действий в свое меню, вызываемое правой кнопкой мыши, для писем в па...
Apex Legends Mobile ПРЕДУПРЕЖДЕНИЕ! Остерегайтесь ... APEX LEGENDS Mobile, по всей видимости, появится в будущем на телефонах iOS и Android, но в то же время фанаты должны знать о распространении поддельн...

В то время как в рекомендациях DHS говорится, что для использования уязвимости требуется «низкий уровень квалификации», существуют некоторые смягчающие факторы, которые должны создать узкое окно для того, чтобы атакующий мог использовать недостатки.

Во-первых, сердечному устройству должна быть включена радиосвязь. Это происходит в клинике перед процедурой имплантации и во время последующих посещений. Вне клиники Medtronic говорит, что время радиоактивации «ограничено, варьируется в зависимости от пациента и его трудно предсказать».

FDA считает, что это «функции безопасности», но отмечает, что Medtronic работает над патчем, который FDA должен будет утвердить для устранения недостатков аутентификации и шифрования.

Несмотря на серьезность недостатка аутентификации и потенциальную опасность для жизни, Medtronic и FDA рекомендуют пациентам продолжать использовать устройства в соответствии с предписаниями.

«Преимущества удаленного мониторинга перевешивают практический риск того, что эти уязвимости могут быть использованы. Эти преимущества включают более раннее выявление аритмий, меньшее количество посещений больниц и повышение выживаемости». говорит Медтроник.

Читайте так же

Apex Legends Mobile ПРЕДУПРЕЖДЕНИЕ! Остерегайтесь ... APEX LEGENDS Mobile, по всей видимости, появится в будущем на телефонах iOS и Android, но в то же время фанаты должны знать о распространении поддельн...
Предупреждение о повышении цен на BT — с сег... По сути, планы растут от 1 до 4 фунтов стерлингов в месяц в зависимости от услуг, подписанных клиентами. Те, кто оплачивает предложения BT Classic, E...
Gmail добавляет множество новых функций в своем ме... Пользователи Gmail, обратите внимание. Google собирается добавить множество новых действий в свое меню, вызываемое правой кнопкой мыши, для писем в па...