Исследователи в области кибербезопасности Билли Риос и Джонатан Батс обнаружили опасную уязвимость в кардиостимуляторах, выпускаемых компанией Medtronic. Своими изысканиями они поделились в рамках завершившейся накануне в Лас-Вегасе конференции Black Hat.
Как пишет Ars Technica, уязвимость была обнаружена еще в январе прошлого года, и исследователи уведомили Medtronic о ее существовании, однако устройства компании до сих пор остаются уязвимыми. Суть проблемы заключается в том, что кардиостимуляторы не используют зашифрованное соединение при обновлении прошивки, что позволяет злоумышленникам удаленно загрузить на имплантируемое устройство вредоносный код. Это несет реальную угрозу здоровью и жизни пациентов.
В качестве доказательства Риос и Батс продемонстрировали публике взлом устройства CareLink 2090 (программатор для кардиостимуляторов, используемый врачами после вживления устройств пациентам). В ходе демонстрации загрузили на программатор вредоносную прошивку. По их словам, после этого зараженное устройство получило возможность влиять на работу кардиостимулятора.
Эксперты уточнили, что для взлома устройства CareLink 2090 существует два способа. Первый использует уязвимости в системе обновления прошивки, получаемой от Medtronic (он и был продемонстрирован на конференции), а второй заключается в проникновении во внутреннюю сеть самой компании. Поскольку серверы Medtronic используются для обновления прошивок устройств пациентов, этот способ Риос и Батс не проверяли на практике.
В заявлении Medtronic говорится, что компания получила информацию об уязвимости программатора в феврале прошлого года и решила ее, усилив системы защиты. Также в компании напомнили, что инструкция к CareLink 2090 предписывает использовать устройство в безопасной среде и подключать его только к защищенным сетям.
Однако исследователи раскритиковали компанию за медленную реакцию на угрозы. "В настоящее время, как исследователи в области безопасности, мы считаем, что преимущества имплантируемых медицинских устройств перевешивают риски. Однако, когда производители ведут себя так, как это делал Medtronic, им трудно доверять", – сказал Риос.
Отметим, это не первый подобный случай. В конце августа прошлого года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) предупредило владельцев 465 тысяч кардиостимуляторов о необходимости срочно обновить прошивку устройств из-за угрозы их взлома хакерами. Речь шла о стимуляторах компании Abbott, а найденная в них уязвимость позволяла хакерам получить к ним доступ, а затем изменить скорость работы или быстро разрядить встроенную батарею.