Зламати імплантованих медичних пристроях може стати причиною смерті, говорять дослідники

Різні медичні пристрої, імплантовані з дев'яти нещодавно виявлених вразливостей не буде усунена виробником, незважаючи на можливість, що якщо зловживати, то недоліки можуть призвести до травми або смерті.

У новому дослідженні, представленому на чорному капелюсі інформаційної безпеки конференції, пара дослідників безпеки відключені дистанційно імплантується інсуліновий насос, запобігаючи його від постачання життєво необхідних ліків, а потім взяв повний контроль кардіостимулятора системи, дозволяючи їм для доставки шкідливих програм на комп'ютерах, імплантованого в тіло пацієнта.

Джонатан Баттс КЕД безпечних рішень і Біллі Кім-Ріос Whitescope продемонстрували хакі в живій сесії, попередивши всіх, з імплантованим медичним пристроєм, щоб залишити номер до видачі команди відключення інсулінової помпи.

Щоб взяти під контроль кардіостимулятора, Ріос і недопалки пішов вгору по ланцюжку, злом системи, лікар став використовувати для програмування пацієнта кардіостимулятора. Їх зламати переписав систему, щоб замінити фон на зловісний череп, а справжній хак може змінити систему непомітно, при цьому гарантуючи, що будь кардіостимулятор, підключених до нього, буде запрограмований з шкідливими інструкціями. "Ви, очевидно, може видати шок", - повідомив Обухів", але ви можете також заперечувати шок". Оскільки пристрої імплантуються з причини, додав він, утримання лікування може бути настільки ж руйнівна, як активні спроби заподіяти шкоду. Зламали супутникові системи міг запустити мікрохвильова піч-як нападу, попереджає експерт Детальніше

Пара критикували Медтронік, виробник приладів, за його відповідь на відкриття. "Ми вперше повідомили про це виробникові 570 днів тому", - повідомив Обухів.

"Близько 155 днів тому ми розповіли їм, як хтось може взяти його", - додав Ріос. Пара загальних конкретних доказів -- принципової схеми атак з компанією, підкреслюючи шкоду, яка може бути зроблено. "Рік тому, ми потрапили в переломний момент і сказав 'вистачить!'", - сказав він, спонукаючи їх вийти на публіку зі своїм досвідом на конференції.

Недопалки і Ріос також піддав критиці повільну реакцію компанії medtronic і спроби применшити недоліки. У своєму оповіщення кібербезпеки, в компанії говорять, що обстрілу не було можливо дистанційно, так і не вдалося повністю пояснити, як широкі слабкі місця. Бюлетень попередження про слабкості, що Ріос і недопалки, використані для перепрограмування кардіостимулятора, наприклад, сказав лише, що зловмисник "може впливати на" дані відправлені для системи оновлень програмного забезпечення. "Коли хтось отримує це консультативний і вони читають цю мову, це майже неможливо для них, щоб зрозуміти, які ризики", - сказав Ріос.

Компанії medtronic заявив, що не буде виправляти огріхи виявлено, замість того, щоб рекомендувати пацієнтам та лікарям вкрай обережні з мереж їх підключення пристроїв. Компанія каже, що недоліки позі "низький (прийнятний)" ризик для безпеки пацієнта.

Сюзанна Шварц, директор FDA, що відповідають за партнерські відносини кібербезпеки агентства, сказав, що випадок ілюструє “пробіл в екосистемі. Ризик злому призводить до відкликання 500,000 електрокардіостимуляторів через побоювання смерті пацієнта Детальніше

"Виробники опиняються в різних місцях в їх здатність реагувати", - додав Шварц. "Зрештою, ми хочемо переконатися, що ці пристрої, які забезпечують екстраординарні здібності для пацієнтів, для відео гарна якість життя, захищається від атаки".

Представник компанії medtronic повідомила, що компанія "незалежна оцінка" потенційної уразливості підсвічується Whitescope і був "не в курсі будь-яких додаткових вразливостей, які визначені на цей раз".

"Медтронік місця безпеки продукції вище всіх міркувань" за компанію додав. "Всі пристрої мають деякий пов'язаний з цим ризик і, як регулятори, ми постійно прагнемо збалансувати ризики проти переваги наших пристроїв забезпечить."

Категория: Технологии