Уязвимост в сърдечни дефибрилатори на производителя Medtronic позволява придобиването на неоторизиран достъп и контрол върху устройствата. Това предупреждават от американския Департамент за вътрешна сигурност (еквивалент на МВР), цитирани от The Register.
Държавната институция е публикувала CVE (Common Vulnerabilities and Exposures) уязвимости в комуникационната система Conexus, използвана в засегнатитеимплантирани дефибрилатори.
Засегнатата система позволява свързването на имплантирани в телата на пациентите дефибрилатори и контрол върху тях посредством радио вълни. Обсегът на системата е под 10 метра.
По-сериозната уязвимост CVE-2019-6538 позволява на атакуващия да манипулира данните, обменяни между устройството и контролера му. Протоколът за връзка на Conexus не включва никакви проверки или автентикация на този тип свързване. Това означава, че сигналът може да бъде прихванат и модифициран от хакери посредством специфично оборудване.
Сериозната част от уязвимостта: протоколът позволява на хакер с подходящо радио оборудване и при подходящи обстоятелства, да изпраща команди на имплантираното сърдечно устройство, което чете или пише в паметта на дефибирлатора. На практика, това означава, че някой може да манипулира работата на уязвимия имплант като потенциално да навреди или дори накрая да убие пациента.
Част от необходимите условия за подобно действие, обаче, включват устройството да бъде настроено в режим на „слушане“ – т.е. да очаква команди. Добрата новина е, че това състояние не е активно през по-голямата част от деня.
Втората уязвимост – CVE-2019-6540 – позволява на атакуващия да подслушва обменяните между контролер и дефибрилатор команди, като по този начин шпионира пациента и медицинското му състояние.