Marcapasso Medtronic podem ser hackeados a 6 metros de distância

O Departamento de Segurança Interna dos EUA publicou um alerta alertando as pessoas sobre vulnerabilidades severas em mais de uma dúzia de desfibriladores cardíacos que podem permitir que invasores os sequestrem remotamente, potencialmente colocando em risco a vida de milhões de pacientes.

O Desfibrilador Cardioversor é um pequeno dispositivo implantado cirurgicamente (no peito dos pacientes) que dá ao coração do paciente um choque elétrico (frequentemente chamado de choque) para restabelecer um batimento cardíaco normal.

Embora o dispositivo tenha sido projetado para prevenir a morte súbita, vários desfibriladores cardíacos implantados, fabricados por uma das maiores empresas de dispositivos médicos do mundo, a Medtronic , foram considerados vulneráveis ​​a duas vulnerabilidades sérias.

Descobertas por pesquisadores da empresa de segurança Clever Security, as vulnerabilidades podem permitir que agentes de ameaças com conhecimento de dispositivos médicos interceptem e potencialmente afetem a funcionalidade desses dispositivos que salvam vidas.

“A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor com acesso de curto alcance adjacente a um dos produtos afetados interfira, gere, modifique ou intercepte a comunicação por radiofreqüência (RF) do sistema de telemetria Conexus proprietário da Medtronic, potencialmente impactando o produto funcionalidade e / ou permitindo o acesso a dados sensíveis transmitidos “, adverte o comunicado divulgado pelo DHS.

As vulnerabilidades residem no Protocolo de telemetria de radiofreqüência Conexus – um sistema de comunicação sem fio usado por alguns dos desfibriladores da Medtronic e suas unidades de controle para conectar sem fio a dispositivos implantados pelo ar usando ondas de rádio.

Falha 1: Falta de Autenticação nos Desfibriladores Implantáveis ​​da Medtronic

De acordo com um aviso [ PDF ] publicado pela Medtronic, essas falhas afetam mais de 20 produtos, 16 dos quais são desfibriladores implantáveis ​​e o restante são os monitores e programadores de beira de leito dos desfibriladores.

A falha mais crítica dos dois é CVE-2019-6538, que ocorre porque o protocolo de telemetria Conexus não inclui nenhuma verificação de adulteração de dados, nem realiza qualquer forma de autenticação ou autorização.

A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor dentro do alcance de rádio do dispositivo afetado e do equipamento de rádio direito intercepte, falsifique ou modifique a transmissão de dados entre o dispositivo e seu controlador, o que poderia prejudicar ou até mesmo matar o paciente.

“Este protocolo de comunicação fornece a capacidade de ler e gravar valores de memória para dispositivos cardíacos implantados afetados; portanto, um invasor pode explorar este protocolo de comunicação para alterar a memória no dispositivo cardíaco implantado”, diz o DHS.

 

Defeito 2: Falta de Criptografia nos Desfibriladores Implantáveis ​​da Medtronic

O protocolo de telemetria Conexus também não fornece criptografia para proteger as comunicações de telemetria, possibilitando que invasores dentro do alcance escutem a comunicação. Esse problema foi atribuído a CVE-2019-6540.

No entanto, a Medtronic disse que as vulnerabilidades seriam difíceis de aproveitar e prejudicar os pacientes, uma vez que requer que as seguintes condições sejam atendidas:

  • Um indivíduo não autorizado precisaria estar próximo de até 6 metros (20 pés) ao dispositivo alvo ou ao programador da clínica.
  • A telemetria Conexus deve ser ativada por um profissional de saúde que esteja na mesma sala que o paciente.
  • Fora do hospital, os tempos de ativação dos dispositivos são limitados, o que varia de paciente para paciente e é difícil de ser previsto por um usuário não autorizado.

O gigante da tecnologia médica também garante aos seus usuários que “nem um ataque cibernético nem um dano ao paciente foi observado ou associado a essas vulnerabilidades” até hoje.

A Medtronic também observou que sua linha de marcapassos implantados, incluindo aqueles com funcionalidade sem fio Bluetooth, bem como seus monitores CareLink Express e os programadores CareLink Encore (Modelo 29901) usados ​​por alguns hospitais e clínicas, não são vulneráveis ​​a nenhuma dessas falhas.

A Medtronic já aplicou controles adicionais para monitorar e responder ao abuso do protocolo Conexus pelos dispositivos cardíacos implantados afetados e está trabalhando em uma correção para resolver as vulnerabilidades relatadas.

A correção de segurança será disponibilizada em breve e, nesse meio tempo, a Medtronic recomendou que “pacientes e médicos continuem a usar esses dispositivos conforme prescrito e pretendido”.

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !