Nyheder
25 marts 2019

Indopererede hjertestartere fra Medtronic er sårbare over for livsfarlige hacks

Alvorlige sårbarheder i 16 forskellige modeller af hjerteimplantater gør det muligt for en angriber at få fuld kontrol med implantatet – så meget kontrol, at det er muligt at forårsage et hjerteanfald.

Alvorlige sårbarheder i 16 forskellige modeller af hjerteimplantater gør det muligt for en angriber at få fuld kontrol med implantatet – så meget kontrol, at det er muligt at forårsage et hjerteanfald.

Det er konklusionen i en advarsel fra det amerikanske Homeland Security. Implantaterne fra Medtronic har ikke engang indbygget den mest fundamentale sikkerhed. Millioner af brugere formodes derfor at være sårbare over for sikkerhedshullerne.

Det skriver The Hacker News.

En 'cardioverter defibrilator' er en slags pacemaker, men typisk er den lidt større og har mulighed for også at fungere som defibrillator, også kendt som en hjertestarter, hvis hjertet går helt i stå.

Selve implantatet sidder oftest under nøglebenet, mens kabler med elektroder er opereret ind til hjertet. Implantatet skal kunne betjenes, uden at man kan nå ind til det rent fysisk, hvilket sker ved hjælp af radiobølger.

Styringen sker med et apparat, som Medtronic også udvikler og sælger. Det giver blandt andet mulighed for, at sundhedspersonalet kan justere på implantatet og få data ud om driften, uden at man behøver foretage endnu en operation.

Implantatet kan tilgås med en afstand på op til seks meter. Desværre er denne kontakt mellem omverden og implantat bare ikke særlig sikker.

Det var sikkerhedsforskere fra Clever Security, som opdagede sikkerhedshullerne. Deres undersøgelser viste fejl, som ifølge det amerikanske Homeland Security kan udnyttes af hackere.

»Succeesfuld udnyttelse af disse svagheder kan gøre det muligt for en angriber, der er er tæt på, at få adgang til et af de omfattede produkter og at påvirke, generere, modificere eller opsnappe radiofrekvens (RF) kommunikationen for Medtronics privatejede Conexus telemetry-system. Det kan potentielt påvirke produktets funktionalitet eller/og give adgang til følsom, transmitteret data,« advarer den amerikanske sikkerhedstjeneste

Manglende sikkerhed

Ifølge en advarsel udsendt af Medtronic er over 20 produkter omfattet af sikkerhedshullerne, heraf 16 implantater. Desuden er instrumenter til at aflæse og programmere implantaterne også omfattet. De kører alle med en protokol kaldet Conexus Radio Frequency Telemetry Protocol, og det er her, fejlen ligger.

I implantaterne er der eksempelvis intet tjek for, om der er manipuleret med data, og systemet laver heller ikke nogen for for kontrol af, om apparatet, som hjerteimplantatet modtager ordrer fra, er godkendt eller autentisk. Eller sagt med andre ord: Hjertestarteren har stort set ingen sikkerhed overhovedet. Dermed er det muligt at sende data til implantatet, som kan slå patienten ihjel.

Undersøgelsen viser også, at der heller ikke er kryptering på de indopererede implantater, og dermed er det muligt for en angriber, som fysisk er tæt på implantatet, at opsnappe data fra det. Det kræver blot, at Conexus telemetri-systemet er aktiveret.

Så vidt vides er sikkerhedsbristen endnu ikke blevet udnyttet, og ifølge Medtronic er virksomhedens pacemakere ikke omfattet af sikkerhedshullet, ligesom deres CareLink Express-monitorer og CareLink Encore-indstillingsværktøjer heller ikke er det. Virksomheden arbejder på at sikre de mange Conexus-aparater.

Læs mere >>

FacebookTwitterLinkedinMailPrint

Også interessant

Arrangør
Version2
Ingeniøren
Partner