Хабрахабр

Критическая уязвимость имплантированных устройств жизнеобеспечения дает злоумышленникам возможность управлять ими

Это касается как компаний, которые выпускают смартфоны, IoT гаджеты, плюс оказалось, что разработчики медицинских гаджетов также не слишком пекутся о защите своих девайсов от постороннего вмешательства. О том, что производители разного рода девайсов основное внимание уделяют дизайну и удобству пользования, оставляя вопросы информационной безопасности за бортом, на Хабре писали много раз.

Это миниатюрные устройства, которые вживляются в тело человека для того, чтобы в моменты, когда сердце работает с проблемами, оно получало электрический сигнал, позволяющий «включить» обычный режим работы сердечной мышцы.
Если с таким гаджетом что-то случится, то его владельца ждут неминуемые проблемы, вплоть до летального исхода. А речь идет о таких жизненно важных устройствах, как ритмоводители и дефибрилляторы (не те, что показывают в сериалах о врачах, другие). Те из них, что выпускаются компанией Medtronic, оказались еще и уязвимыми для внешнего вмешательства. Хуже всего то, что дефибрилляторы становятся все более «умными».

В больницах применяется модель под названием CareLink Programmer, в домашних условиях — MyCareLink Monitor. Для обслуживания и проверки работы девайсов используются специализированные устройства.

При передаче данных не используется шифрование — вообще никакое, информация передается, фактически, в открытом виде. И все бы хорошо, но, как показали исследователи из компании Clever Security, протокол связи, используемый этими устройствами, небезопасен. Кроме того, нет и защиты от внешнего подключения, чем могут воспользоваться злоумышленники.

Таким образом, киберпреступник может подключиться к гаджету и изменить режим его работы или вовсе перепрошить, использовав кастомное ПО.

Ситуация действительно очень сложная, поскольку изменить что-либо в сторону усиления информационной защиты устройства в оперативном режиме нельзя. Специалисты оценили серьезность проблемы в 9,3 балла по 10-балльной шкале. А злоумышленники вполне могут использовать проблему в каких-то своих целях.

Правда, для этого необходим физический доступ к управляющему устройству — MyCareLink или CareLink. Пока что исследователи проводили лишь proof-of-concept атаку, просто для демонстрации возможностей, о которых говорится в исследовании. При желании можно перепрошить девайс, о чем говорилось выше. Если доступ есть, то самым невинным действием может быть получение пользовательских данных, сохраненных на устройстве.

Но есть и еще одна возможность — злоумышленники при наличии соответствующего опыта могут создать кастомный девайс, который, находясь в радиусе действия дефибриллятора, может задавать специфический режим работы любому из устройств, выпущенных Medtronic.

Те усилили защиту своих систем, усложнив доступ к MyCareLink и CareLink. Конечно, информацию о проблеме специалисты по кибербезопасности выложили в общем доступе после того, как отправили все необходимое разработчикам медицинских устройств. Но подключение так и осталось незащищенным — шифрования и аутентификации нет.

Пароли, которые позволяют получить root-доступ к этим гаджетам, хранится в виде MD5 хэша, который можно расшифровать без всякого труда. К слову, оба контрольных устройства находятся под управлением кастомной версии Linux. По словам исследователей, 8-значный пароль, дающий доступ к этой системе, можно взломать даже при помощи обычного ноутбука и базы пар паролей/логинов от сервиса RockYou, выложенных в общем доступе 10 лет назад.

Гаджеты входят в этот режим в то время, когда врачи проводят специальные сервисные работы, а также во время проверки дефибриллятора при помощи Carelink. Правда, для того, чтобы атака злоумышленников была успешной, дефибриллятор должен находиться в состоянии прослушивания «радиоэфира».

Но медицинских «умных» имплантантов много, и никто не даст гарантии, что другие гаджеты безопаснее систем, произведенных Medtronic. Проблемы с медицинскими устройствами на этом не заканчиваются, ведь показана лишь проблема, присущая для определенного типа гаджетов одного из производителей.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть