Un certain nombre de défibrillateurs cardiaques sont vulnérables aux graves, attaques mortelles. les défauts, situé dans Conexus protocole de télémétrie sans fil radiofréquence de Medtronic, pourrait permettre à des attaquants de détourner les appareils à distance, mettant ainsi la vie de nombreux patients à risque.
Plus précisement, Les chercheurs de Clever Security ont découvert que le protocole de télémétrie par radiofréquence Conexus ne fournit aucun cryptage pour sécuriser les communications.
Le manque de cryptage permet aux attaquants à portée radio d'écouter les communications. Cependant, ce n'est pas le seul problème - le protocole manque d'authentification pour les appareils légitimes. Les deux problèmes combinés à d'autres défauts permettent aux pirates de réécrire le micrologiciel du défibrillateur. Ceci est assez rare pour les vulnérabilités des dispositifs médicaux, les chercheurs disent.
Vulnérabilités de Medtronic: expliqué
Les vulnérabilités mettent en danger les appareils qui utilisent le protocole de télémétrie sans fil par radiofréquence Conexus de Medtronic. Parmi les appareils concernés figurent les défibrillateurs automatiques implantables et les défibrillateurs de thérapie de resynchronisation cardiaque de la société.. Cependant, Les stimulateurs cardiaques de Medtronic ne sont pas affectés.
La bonne nouvelle est que les vulnérabilités n’ont pas encore été exploitées, ou du moins il n'y a aucune preuve. Cependant, un hacker à proximité immédiate d'un patient peut encore interférer avec la communication lorsque la radiofréquence est active, accédant ainsi aux données envoyées par l'appareil.
En outre, selon un alerte par le Département de la sécurité intérieure, les vulnérabilités sont faciles à exploiter et ne nécessitent pas de connaissances spécifiques. Cela rend les problèmes critiques. Medtronic, d'autre part, dit que même si une personne peut accéder à Conexus, elle aurait besoin d'une connaissance détaillée des dispositifs médicaux, télémétrie et électrophysiologie sans fil pour mettre en danger la vie d’un patient.
Les vulnérabilités sont les suivantes:
- Une vulnérabilité critique de contrôle d'accès incorrecte connue sous le nom de CVE-2019-6538, avec un score CVSS de 9.3 car il ne nécessite qu'un faible niveau de compétence pour exploiter;
- Une transmission en clair de la vulnérabilité des informations sensibles, ou CVE-2019-6540, avec un score CVSS de 6.5.
Voici la liste des appareils concernés:
Moniteur MyCareLink, versions 24950 et 24952
Moniteur CareLink, Version 2490C
CareLink 2090 Programmeur
CRT-D large (tous les modèles)
Claria CRT-D (tous les modèles)
Faire CRT-D (tous les modèles)
Concert CRT-D (tous les modèles)
Concert II CRT-D (tous les modèles)
Voir CRT-D (tous les modèles)
Evera ICD (tous les modèles)
Maximo II CRT-D et ICD (tous les modèles)
Mirro ICD (tous les modèles)
Nayamed ND ICD (tous les modèles)
premier ICD (tous les modèles)
Protecta ICD et CRT-D (tous les modèles)
Secura ICD (tous les modèles)
ICD virtuose (tous les modèles)
Virtuoso ICD 2 (tous les modèles)
Visia AF ICD (tous les modèles)
Vive le CRT-D (tous les modèles).
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: