Un certo numero di defibrillatori cardiaci sono vulnerabili a grave, attacchi di pericolo di vita. i difetti, situato nel protocollo di telemetria a radiofrequenza wireless Conexus di Medtronic, potrebbe consentire agli aggressori di dirottare i dispositivi da remoto, mettendo così la vita di innumerevoli pazienti a rischio.
Più specificamente, ricercatori intelligente di sicurezza hanno scoperto che la frequenza di telemetria protocollo Conexus Radio fornisce alcuna crittografia per proteggere le comunicazioni.
La mancanza di cifratura consente attaccanti nel raggio d'azione radio per intercettare le comunicazioni. Tuttavia, questo non è l'unico problema - il protocollo di autenticazione per i dispositivi manca legittimi. Le due questioni in combinazione con alcuni altri difetti consentono agli hacker di riscrivere il firmware defibrillatore. Questo è abbastanza raro per le vulnerabilità nei dispositivi medici, dicono i ricercatori.
Medtronic vulnerabilità: spiegato
Le vulnerabilità mettono in pericolo i dispositivi che utilizzano il protocollo di telemetria a radiofrequenza wireless Conexus di Medtronic. Tra i dispositivi interessati sono defibrillatori impiantabili della società e defibrillatori terapia di risincronizzazione cardiaca. Tuttavia, pacemaker Medtronic non sono interessati.
La buona notizia è che le vulnerabilità non sono stati sfruttati finora, o almeno non ci sono prove. Ciò nonostante, un hacker in prossimità di un paziente può ancora interferire la comunicazione quando la radiofrequenza è attivo, ottenendo così l'accesso ai dati inviati dal dispositivo.
Inoltre, secondo un mettere in guardia dal Department of Homeland Security, le vulnerabilità sono facili da sfruttare e non richiedono conoscenze specifiche. Questo rende le criticità. Medtronic, d'altronde, disse che mentre qualcuno potrebbe essere in grado di accedere a Conexus avrebbero bisogno conoscenza dettagliata dei dispositivi medici, telemetria wireless e elettrofisiologia di mettere in pericolo la vita di un paziente.
Le vulnerabilità sono i seguenti:
- Una vulnerabilità di controllo degli accessi impropri critico noto come CVE-2019-6538, con un punteggio di CVSS 9.3 poiché richiede soltanto un livello di abilità partire da sfruttare;
- Una trasmissione in chiaro della vulnerabilità informazioni sensibili, o CVE-2019-6540, con un punteggio di CVSS 6.5.
Ecco l'elenco dei dispositivi interessati:
MyCareLink Monitor, versioni 24950 e 24952
CareLink Monitor, versione 2490C
CareLink 2090 Programmatore
Amplia CRT-D (tutti i modelli)
Claria CRT-D (tutti i modelli)
Compia CRT-D (tutti i modelli)
Concerto CRT-D (tutti i modelli)
Concerto II CRT-D (tutti i modelli)
Consulta CRT-D (tutti i modelli)
Evera ICD (tutti i modelli)
Maximo II CRT-D e ICD (tutti i modelli)
Mirro ICD (tutti i modelli)
Nayamed ND ICD (tutti i modelli)
prima ICD (tutti i modelli)
Protecta ICD e CRT-D (tutti i modelli)
Secura ICD (tutti i modelli)
virtuoso ICD (tutti i modelli)
Virtuoso II ICD (tutti i modelli)
Visia DI ICD (tutti i modelli)
Viva CRT-D (tutti i modelli).