Хакеры могут контролировать работу уже имплантированных кардиостимуляторов

Дата: 15.12.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры могут контролировать работу уже имплантированных кардиостимуляторов

Эксперты по кибербезопасности из компании Sternum обнаружили в медоборудовании Medtronic (модель MyCareLink Smart 25000 Patient Reader) критические уязвимости, которые потенциально могут применяться для получения контроля на сопряженными кардиологическими устройствами.

Медоборудование MCL Smart Patient Reader используется для получения сведений от имплантированного сердечного устройства, которые затем отправляются во внутреннюю сеть компании-производителя Medtronic CareLink. Такой подход позволяет обеспечить максимально качественный и эффективный уход за людьми с больным сердцем.

Исследователи компании Sternum выявили в MyCareLink Smart 25000 Patient Reader три критические уязвимости, которые могут эксплуатироваться для изменения или подделки информации, передающейся с имплантированного сердечного устройства в сеть Medtronic CareLink.

С помощью уязвимостей киберпреступники смогут удаленно выполнять код на а MCL Smart Patient Reader, получая тем самым полный контроль над сопряженным кардиологическим устройствах. Но есть ограничение – требуется, чтобы хакер находился в пределах действия Bluetooth-диапазона уязвимого медоборудования.

  1. Одна из обнаруженных уязвимостей (CVE-2020-25183) является ошибкой протокола аутентификации, с помощью чего киберпреступники смогут обойти технологию, используемую для аутентификации между MCL Smart Patient Reader и мобильным приложением Medtronic MyCareLink Smart.
  2. Вторая уязвимость (CVE-2020-25187) может эксплуатироваться в том случае, если уже аутентифицированный хакер запустить команду отладки, отправленную на имплантированное кардиологическое устройство. Это вызывает переполнение кучи, что позволяет удаленно выполнить код и в дальнейшем управлять устройством.
  3. Третья уязвимость (CVE-2020-27252) представлена в виде ошибки, которую киберпреступники могут применять для загрузки и выполнения неподписанного микропрограммного обеспечения на считывающем устройстве пациента.

Компания Medtronic уже заявила о выпуске обновления прошивки уязвимого оборудования для устранения выявленных ошибок. Его можно загрузить через приложение MyCareLink Smart. Представители Medtronic заявили, что «на данный момент не зафиксировано ни одной кибератаки, не было фактов получения несанкционированного доступа к конфиденциальным данным пациентов, им не был нанесен какой-либо вред из-за обнаруженных уязвимостей».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *