Een aantal hart defibrillators zijn kwetsbaar voor ernstige, Levensbedreigende aanvallen. de gebreken, in Medtronic Conexus radiofrequente draadloze telemetrieprotocol, kan leiden aanvallers om de apparaten op afstand te kapen, hetgeen betekende dat het leven van talloze patiënten met een risico.
Specifieker, Clever Beveiliging onderzoekers ontdekten dat de Conexus Radio Frequency telemetrieprotocol biedt geen encryptie om de communicatie te beveiligen.
Het ontbreken van encryptie stelt aanvallers in het zendbereik af te luisteren op de communicatie. Echter, dit is niet het enige probleem - het protocol ontbreekt authenticatie voor legitieme apparaten. De twee thema's in combinatie met een aantal andere gebreken toestaan hackers om de defibrillator firmware herschrijven. Dit is vrij zeldzaam voor kwetsbaarheden in medische hulpmiddelen, onderzoekers zeggen.
Medtronic beveiligingslekken: toegelicht
De kwetsbaarheden in gevaar brengen apparaten die Medtronic Conexus radiofrequente draadloze telemetrie-protocol gebruiken. Onder de getroffen apparaten van het bedrijf implanteerbare cardioverter defibrillatoren en cardiale resynchronisatietherapie defibrillatoren. Echter, Medtronic pacemakers worden niet beïnvloed.
Het goede nieuws is dat de kwetsbaarheden zijn tot op heden niet benut, of in ieder geval is er geen bewijs. Niettemin, een hacker in een nabijheid van een patiënt kan nog steeds hinderen de communicatie wanneer de radiofrequentie is actief, zo toegang tot gegevens die door het apparaat wint.
Bovendien, volgens een alarm door het Department of Homeland Security, de kwetsbaarheden zijn gemakkelijk te exploiteren en geen specifieke kennis vereisen. Dit maakt de problemen kritieke. Medtronic, anderzijds, zei dat terwijl iemand in staat zijn om toegang te krijgen tot Conexus ze zouden gedetailleerde kennis van medische hulpmiddelen nodig, draadloze telemetrie en elektrofysiologie om het leven van een patiënt in gevaar te brengen.
De kwetsbaarheden zijn de volgende:
- Een kritische onjuiste kwetsbaarheid toegangscontrole bekend als CVE-2019-6538, met een CVSS score van 9.3 want het vereist slechts een laag niveau te exploiteren;
- Een klare tekst overdracht van gevoelige gegevens kwetsbaarheid, of CVE-2019-6540, met een CVSS score van 6.5.
Hier is de lijst van de betrokken apparaten:
MyCareLink Monitor, versies 24950 en 24952
CareLink-monitor, versie 2490C
CareLink 2090 Programmeur
Amplia CRT-D (alle modellen)
Claria CRT-D (alle modellen)
Bereiken CRT-D (alle modellen)
CRT-D Concert (alle modellen)
Concerto II CRT-D (alle modellen)
Bekijk CRT-D (alle modellen)
Evera ICD (alle modellen)
Maximo II CRT-D en ICD (alle modellen)
mirro ICD (alle modellen)
Nayamed ND ICD (alle modellen)
eerste ICD (alle modellen)
Protecta ICD en CRT-D (alle modellen)
Secura ICD (alle modellen)
Virtuoso ICD (alle modellen)
Virtuoso II ICD (alle modellen)
Visia VAN ICD (alle modellen)
Viva CRT-D (alle modellen).