Un número de desfibriladores cardíacos son vulnerables a grave, ataques que amenazan la vida. los defectos, ubicada en el protocolo de telemetría de radiofrecuencia inalámbrica Conexus de Medtronic, podría permitir a atacantes secuestrar los dispositivos de forma remota, poniendo así la vida de innumerables pacientes en riesgo.
Más específicamente, Clever investigadores de seguridad descubrieron que el Protocolo de frecuencia de telemetría Conexus Radio no proporciona cifrado para proteger las comunicaciones.
La falta de encriptación permite a los atacantes dentro del alcance de radio para escuchar a escondidas en las comunicaciones. Sin embargo, este no es el único problema - el protocolo carece de autenticación para dispositivos legítimos. Los dos problemas combinados con algunos otros defectos permiten a los hackers para reescribir el firmware desfibrilador. Esto es bastante raro para vulnerabilidades en dispositivos médicos, los investigadores dicen.
Medtronic vulnerabilidades: Explicado
Las vulnerabilidades ponen en peligro a los dispositivos que utilizan el protocolo de telemetría de radiofrecuencia inalámbrica Conexus de Medtronic. Entre los dispositivos afectados son desfibrilador automático implantable de la compañía y los desfibriladores terapia de resincronización cardiaca. Sin embargo, marcapasos de Medtronic no se ven afectados.
La buena noticia es que las vulnerabilidades no han sido explotadas hasta el momento, o al menos no hay pruebas. No obstante, un pirata informático en una proximidad cercana a un paciente todavía puede interferir la comunicación cuando la radiofrecuencia está activa, ganando así el acceso a los datos enviados por el dispositivo.
Además, de acuerdo con una alerta por el Departamento de Seguridad Nacional, las vulnerabilidades son fáciles de explotar y no requieren conocimientos específicos. Esto hace que los temas críticos. Medtronic, Por otra parte, dijo mientras que alguien puede ser capaz de acceder a Conexus ellos necesitan un conocimiento detallado de los dispositivos médicos, telemetría inalámbrica y la electrofisiología de poner en peligro la vida del paciente.
Las vulnerabilidades son los siguientes:
- Una vulnerabilidad de control de acceso indebido crítico conocido como CVE-2019-6538, con una puntuación CVSS de 9.3 ya que sólo se requiere un nivel de habilidad baja para explotar;
- Una transmisión de texto claro de la vulnerabilidad información sensible, o CVE-2019-6540, con una puntuación CVSS de 6.5.
Aquí está la lista de los dispositivos afectados:
MyCareLink monitor, versiones 24950 y 24952
CareLink monitor, 2490C versión
CareLink 2090 Programador
Amplia CRT-D (todos los modelos)
Claria CRT-D (todos los modelos)
Lograr CRT-D (todos los modelos)
CRT-D Concert (todos los modelos)
Concierto II CRT-D (todos los modelos)
Ver CRT-D (todos los modelos)
Evera CIE (todos los modelos)
Máximo II CRT-D y la CIE (todos los modelos)
Mirro CIE (todos los modelos)
Nayamed ND CIE (todos los modelos)
primer DCI (todos los modelos)
Protecta DAI y TRC-D (todos los modelos)
Secura CIE (todos los modelos)
virtuoso del CIE (todos los modelos)
Virtuoso II CIE (todos los modelos)
Visia DE ICD (todos los modelos)
Viva CRT-D (todos los modelos).
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: