Eine Reihe von Herz-Defibrillatoren sind anfällig für schwere, lebensbedrohlichen Attacken. die Mängel, in Medtronic Conexus Hochfrequenz drahtloses Telemetrieprotokoll befindet, könnte Angreifer ermöglichen, die Geräte aus der Ferne kapern, so setzt das Leben unzähliger Patienten mit erhöhtem Risiko.
Genauer, Clever Sicherheits Forscher entdeckt, dass das Conexus Radio Frequency Telemetrie-Protokoll keine Verschlüsselung unterstützt die Kommunikation zu sichern.
Der Mangel an Verschlüsselung ermöglicht es Angreifern im Funkbereich auf die Kommunikation belauschen. Jedoch, dies ist nicht das einzige Problem - das Protokoll fehlt Authentifizierung für legitime Geräte. Die beiden Probleme mit einigen anderen Fehler kombiniert ermöglichen Hackern den Defibrillator Firmware neu zu schreiben. Dies ist sehr selten auf Schwachstellen in den Bereichen Medizin, Forscher sagen,.
Medtronic Vulnerabilities: erklärt
Die Sicherheitslücken gefährden Geräte, die von Medtronic Conexus Radiofrequenz drahtlose Telemetrie-Protokoll verwenden. Unter den betroffenen Geräten sind die implantierbaren Kardioverter-Defibrillatoren des Unternehmens und kardialen Resynchronisationstherapie-Defibrillatoren. Jedoch, Medtronic Schrittmacher sind nicht betroffen.
Die gute Nachricht ist, dass die Schwachstellen bisher nicht ausgeschöpft, oder zumindest gibt es keine Beweise. Dennoch, ein Hacker in unmittelbarer Nähe zu einem Patienten, kann immer noch die Kommunikation stören, wenn die Hochfrequenz aktiv ist, somit den Zugang zu Daten, die durch das Gerät gesendet.
Weiter, nach einem warnen von der Abteilung für innere Sicherheit, die Schwachstellen sind einfach zu nutzen und benötigen keine speziellen Kenntnisse. Dies macht die Probleme kritisch. Medtronic, andererseits, sagte dass, während jemand Conexus der Lage sein, kann zugreifen würden sie detaillierte Kenntnisse der medizinischen Geräte müssen, drahtlose Telemetrie und Elektro das Leben eines Patienten zu gefährden.
Die Sicherheitslücken sind folgende:
- Eine kritische unsachgemäße Zugriffskontrolle Verwundbarkeit bekannt als CVE-2019-6538, mit einem CVSS-Score von 9.3 da es nur eine geringe Qualifikationsniveau erfordert auszubeuten;
- Eine Klartext-Übertragung von sensiblen Informationen Verwundbarkeit, oder CVE-2019-6540, mit einem CVSS-Score von 6.5.
Hier ist die Liste der betroffenen Geräte:
MyCareLink-Monitor, Versionen 24950 und 24952
Carelink-Monitor, Version 2490C
CareLink® 2090 Programmierer
Amplia CRT-D (alle Modelle)
Claria CRT-D (alle Modelle)
Erledigen Sie CRT-D (alle Modelle)
CRT-D-Konzert (alle Modelle)
Konzert II CRT-D (alle Modelle)
Ansicht CRT-D (alle Modelle)
Evera ICD (alle Modelle)
Maximo II CRT-D und ICD (alle Modelle)
Mirro ICD (alle Modelle)
Nayamed ND ICD (alle Modelle)
erster ICD (alle Modelle)
Protecta ICD und CRT-D (alle Modelle)
Secura ICD (alle Modelle)
Virtuoso ICD (alle Modelle)
Virtuoso II ICD (alle Modelle)
Visia VON ICD (alle Modelle)
Viva CRT-D (alle Modelle).