多くの心臓除細動器は重度に対して脆弱です, 生命を脅かす攻撃. 欠陥, MedtronicのConexus無線周波数ワイヤレステレメトリプロトコルにあります, 攻撃者がデバイスをリモートで乗っ取る可能性があります, したがって、無数の患者の命を危険にさらします.
すなわち, Clever Securityの研究者は、Conexus Radio FrequencyTelemetryProtocolが通信を保護するための暗号化を提供しないことを発見しました.
暗号化が行われていないため、無線範囲内の攻撃者が通信を盗聴する可能性があります. でも, これだけが問題ではありません–プロトコルには正当なデバイスの認証がありません. 他のいくつかの欠陥と組み合わされた2つの問題により、ハッカーは除細動器のファームウェアを書き換えることができます. これは、医療機器の脆弱性では非常にまれです, 研究者は言う.
メドトロニックの脆弱性: 説明
脆弱性は、メドトロニックのConexus無線周波数ワイヤレステレメトリプロトコルを使用するデバイスを危険にさらします. 影響を受けるデバイスの中には、同社の植込み型除細動器と心臓再同期療法除細動器があります。. でも, メドトロニックのペースメーカーは影響を受けません.
幸いなことに、脆弱性はこれまで悪用されていません。, または少なくとも証拠はありません. それにもかかわらず, 患者のすぐ近くにいるハッカーは、無線周波数がアクティブな場合でも通信を妨害する可能性があります, したがって、デバイスによって送信されたデータにアクセスできます.
さらに, によると アラート 国土安全保障省による, 脆弱性は悪用されやすく、特定の知識を必要としません. これにより、問題が重大になります. メドトロニック, 一方で, 言った 誰かがConexusにアクセスできるかもしれないが、彼らは医療機器の詳細な知識を必要とするだろうということ, 患者の生命を危険にさらすためのワイヤレステレメトリと電気生理学.
脆弱性は次のとおりです:
- として知られている重大な不適切なアクセス制御の脆弱性 CVE-2019-6538, CVSSスコアが 9.3 悪用するには低いスキルレベルしか必要としないため;
- 機密情報の脆弱性のクリアテキスト送信, また CVE-2019-6540, CVSSスコアが 6.5.
影響を受けるデバイスのリストは次のとおりです:
MyCareLinkモニター, バージョン 24950 と 24952
CareLinkモニター, バージョン2490C
CareLink 2090 プログラマー
Amplia CRT-D (すべてのモデル)
クラリアCRT-D (すべてのモデル)
Compia CRT-D (すべてのモデル)
コンチェルトCRT-D (すべてのモデル)
コンチェルトIICRT-D (すべてのモデル)
コンサルタCRT-D (すべてのモデル)
エベラICD (すべてのモデル)
MaximoIICRT-DおよびICD (すべてのモデル)
ミロICD (すべてのモデル)
ナヤメッドNDICD (すべてのモデル)
Primo ICD (すべてのモデル)
ProtectaICDおよびCRT-D (すべてのモデル)
Secura ICD (すべてのモデル)
Virtuoso ICD (すべてのモデル)
Virtuoso II ICD (すべてのモデル)
Visia AF ICD (すべてのモデル)
ビバCRT-D (すべてのモデル).
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: