Pacemakers, defibrillatoren: Zijn medische IoT apparaten betrouwbaar?
Weet u wat er in uw pacemaker is de source code? Uw defibrillator? Uw insuline pomp? Niemand, behalve de maker. En dat is verontrustend.
De AMERIKAANSE regering heeft een melding over een ernstige tekortkoming invloed zijn op de scores van Medtronic hart defibrillator waarmee een aanvaller in de buurt om de instellingen te wijzigen van een patiënt cardiale apparaat door het manipuleren van de radiocommunicatie tussen de it en de bediening van apparaten.
Het grootste probleem ligt in Medtronic ‘ s eigen Conexus radio frequentie draadloze telemetrie-protocol, dat wordt gebruikt als onderdeel van haar remote patiënt management systeem voor communicatie tussen defibrillatoren, home monitoring-apparaten, en arts apparaten programmeren.
Onderzoekers ontdekten dat de Conexus-protocol ontbreekt het aan elke vorm van verificatie, wat betekent dat een aanvaller binnen bereik – ongeveer 20 meter van de patiënt cardiale apparaat kan injecteren, replay, te wijzigen, en het onderscheppen van de telemetrie-gegevens.
En sinds de Conexus-protocol maakt het besturen van apparaten op afstand uit te lezen en te schrijven geheugen naar het hart implantaten, een nabijgelegen aanvaller met een software-defined radio kon ook het benutten van het protocol is het ontbreken van verificatie te herprogrammeren van de cardiale apparaat.
Het lek, CVE-2019-6538, toegewezen werd aan een CVSS prioriteitsniveau van 9.3 uit van een mogelijk 10, volgens het Department of Homeland Security (DHS) advies.
De AMERIKAANSE Food and Drug Administration zegt dat het is “bevestigd dat deze kwetsbaarheden, als ze benut kunnen leiden tot een niet-geautoriseerde persoon (bijvoorbeeld, iemand anders dan de patiënt de arts) voor de toegang en het mogelijk manipuleren van een implanteerbaar apparaat, de thuisbasis van de monitor of de kliniek programmeur.”
Een tweede, lagere ernst van de fout waardoor de Conexus-protocol geeft een potentieel ernstige bedreiging van de privacy van patiënten omdat er geen gegevens verzonden tussen hart-en controle-apparaten is gedaan in het heldere. Nogmaals, een nabijgelegen aanvaller met radio-apparatuur kon onderscheppen van communicatie te leren over de persoon van de specifieke aandoening.
Medtronic benadrukt in haar advies dat Conexus-telemetrie is niet gebruikt in de pacemaker.
Terwijl het DHS advies zegt dat de fout vereist een “laag niveau” te exploiteren, zijn er een aantal beperkende factoren, die zou moeten leiden tot een smal venster voor een aanvaller misbruik maken van de gebreken.
ZIE: Cybersecurity in een IoT en mobiele wereld (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Ten eerste, de cardiale apparaat moet zijn voorzien van radio communicatie is ingeschakeld. Dit gebeurt in de kliniek voordat het implantaat procedure en tijdens de follow-up bezoeken. Buiten de kliniek, Medtronic, zegt de radio-activering keer zijn “beperkt is, verschilt per patiënt, en zijn moeilijk te voorspellen”.
De FDA is van mening dat deze “safety features”, maar merkt op dat Medtronic werkt aan een patch die de FDA zal moeten goedkeuren om de verificatie en versleuteling zwakke punten.
Ondanks de ernst van de verificatie fout en het potentieel levensbedreigende schade, Medtronic en de FDA aanbevolen patiënten gebruik blijven maken van de apparaten, zoals voorgeschreven.
“De voordelen van remote monitoring opwegen tegen de praktische risico dat deze kwetsbaarheden kunnen worden misbruikt. Deze voordelen zijn eerdere detectie van hartritmestoornissen, minder ziekenhuisbezoeken en verbeterde overlevingskansen,” Medtronic zegt.
Meer over de medische beveiliging
Kunt u vertrouwen op de persoonlijke Internet van de Dingen?Hoe gevaarlijk is de pacemaker hack?IoT veiligheid waarschuwing: Cyber-aanvallen op medische apparaten konden patiënten die risico lopen Slecht gebruiker praktijken veroorzaakt 41% van de medische IoT beveiligingsproblemen in 2017 TechRepublicSecurity onderzoekers fouten in chips die gebruikt worden in ziekenhuizen, fabrieken en winkels CNET
Verwante Onderwerpen:
De overheid ONS
Beveiliging TV
Data Management
CXO
Datacenters