Sikkerhedseksperter: Stadig nemt at hacke pacemakere fra Medtronic

Illustration: MI Grafik
To sikkerhedsfolk kritiserer firmaet Medtronic for at have været for langsom til at reagere på deres advarsler om, at firmaets pacemakere er særligt udsat for ondsindede hackerangreb.

Pacemakere fra firmaet Medtronic bruger ikke kryptering til at beskytte opdateringer af pacemakernes firmware, og det gør det muligt for hackere at plante malware, som kan være potentielt livsfarlig for patienterne.

Det sagde to sikkerhedsfolk torsdag under en fremvisning på Black Hat-konferencen i Las Vegas, skriver Ars Technica.

Kan være livstruende for patienterne

Duoen består af Billy Rios fra sikkerhedsfirmaet WhiteScope og Jonathan Butts fra QED Secure Solutions, og de viste torsdag på Black Hat-konferencen, hvordan man kan hacke Medtronics ‘CareLink 2090 Programmer’, der bruges af læger til at administrere og opdatere patienters pacemakere.

Opdateringer til programmeren bliver ikke leveret over en krypteret HTTPS-forbindelse, og firmwaren er ikke digitalt underskrevet. Derfor var det muligt for Billy Rios og Jonathan Butts at tvinge den til at installere ondsindet firmware.

Derfra kan maskinen potentielt få implanterede pacermakere til for eksempel at øge antallet af stød, pacemakeren giver patienten - hvilket kan være livstruende.

Blev allerede advaret i januar 2017

Billy Rios og Jonathan Butts advarede allerede i januar 2017 Medtronic om programmerens sårbarhed og kritiserer nu firmaet for ikke at have handlet hurtigere på advarslerne.

Medtronic udviklede ikke en produktopdatering for at imødekomme produktets sårbarheder, men har i stedet implementeret kompenserende kontroller for at nedsætte risikoen for angreb, skriver firmaet i et sikkerhedsopslag.

Men torsdag på Black Hat-konferencen mente Billy Rios og Jonathan Butts stadig, at de kunne hacke Medtronics ‘CareLink 2090 Programmer’.

»Svaret fra producenten er så vagt,« siger Billy Rios til Ars Technica og fortsætter:

»Det her er ikke et eller andet online-computerspil, hvor high scores kan blive hacket. Det her handler om patientsikkerhed.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
Henrik Madsen

Hvis nu chefen for disse teknologifirmaer blev tvunget til at bruge deres egen teknologi, så ville incitamentet til at få gjort noget nok stige.

Hvis chefen for medtronic blev tvunget til at have en pacemaker som så stod til 0 stød, men kunne dræbe ham hvis den blev hacked mon så ikke fejlene ville blive rettet hurtigt.

Denny Christensen

Mjoeh men lidt meget at indoperere en pacemaker i en person hvis han ellers ikke har brug for det :-)

Produkt ansvar har de allerede, så det er mere kontrollen med hvad producenten gør for at imødegå udfordringer og straffen, evt i form at stop for salg, der vil gøre forskellen.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017