Vários desfibriladores cardíacos são vulneráveis a graves, ataques com risco de vida. as falhas, localizado no protocolo de telemetria sem fio de radiofrequência Conexus da Medtronic, pode permitir que invasores sequestrem os dispositivos remotamente, assim, colocando em risco a vida de incontáveis pacientes.
Mais especificamente, Os pesquisadores da Clever Security descobriram que o Protocolo de Telemetria de Radiofrequência Conexus não fornece criptografia para comunicações seguras.
A falta de criptografia permite que os invasores dentro do alcance do rádio interceptem as comunicações. Contudo, este não é o único problema - o protocolo carece de autenticação para dispositivos legítimos. Os dois problemas combinados com algumas outras falhas permitem que os hackers reescrevam o firmware do desfibrilador. Isso é muito raro para vulnerabilidades em dispositivos médicos, pesquisadores dizem.
Vulnerabilidades da Medtronic: Explicado
As vulnerabilidades colocam em risco os dispositivos que usam o protocolo de telemetria sem fio de radiofrequência Conexus da Medtronic. Entre os dispositivos afetados estão os desfibriladores cardioversores implantáveis da empresa e desfibriladores de terapia de ressincronização cardíaca. Contudo, Os marcapassos da Medtronic não são afetados.
A boa notícia é que as vulnerabilidades não foram exploradas até agora, ou pelo menos não há evidências. Não obstante, um hacker próximo a um paciente ainda pode interferir na comunicação quando a radiofrequência está ativa, obtendo assim acesso aos dados enviados pelo dispositivo.
além disso, de acordo com um alerta pelo Departamento de Segurança Interna, as vulnerabilidades são fáceis de explorar e não requerem conhecimentos específicos. Isso torna os problemas críticos. Medtronic, por outro lado, disse que embora alguém possa ser capaz de acessar Conexus, eles precisariam de conhecimento detalhado de dispositivos médicos, telemetria sem fio e eletrofisiologia para colocar em risco a vida de um paciente.
As vulnerabilidades são as seguintes:
- Uma vulnerabilidade crítica de controle de acesso impróprio conhecida como CVE-2019-6538, com uma pontuação CVSS de 9.3 uma vez que requer apenas um baixo nível de habilidade para explorar;
- A transmissão de texto claro da vulnerabilidade de informações sensíveis, ou CVE-2019-6540, com uma pontuação CVSS de 6.5.
Aqui está a lista de dispositivos afetados:
Monitor MyCareLink, versões 24950 e 24952
Monitor CareLink, Versão 2490C
CareLink 2090 Programador
Wide CRT-D (todos os modelos)
Claria CRT-D (todos os modelos)
Faça CRT-D (todos os modelos)
Concerto CRT-D (todos os modelos)
Concerto II CRT-D (todos os modelos)
Consulte CRT-D (todos os modelos)
Evera ICD (todos os modelos)
Maximo II CRT-D e ICD (todos os modelos)
Mirro ICD (todos os modelos)
Nomeado ND ICD (todos os modelos)
primeiro ICD (todos os modelos)
Protecta ICD e CRT-D (todos os modelos)
Secura ICD (todos os modelos)
Virtuoso ICD (todos os modelos)
Virtuoso ICD 2 (todos os modelos)
Visia AF ICD (todos os modelos)
Viva CRT-D (todos os modelos).
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: