I portatori di pacemaker, defibrillatori: Sono dispositivi medici dispositivi IoT affidabile?
Sai cosa c’è nel tuo pacemaker del codice sorgente? Il defibrillatore? Il microinfusore di insulina? Nessuno, tranne il suo creatore. E questo è preoccupante.
Il governo USA ha messo un avviso su un difetto fondamentale che interessano decine di Medtronic cuore defibrillatori che permette un vicino attaccante per modificare le impostazioni di un paziente cardiaco dispositivo manipolando le comunicazioni radio tra i dispositivi di controllo.
Il problema principale consiste nella Medtronic proprietario Conexus radio-frequenza wireless protocollo di telemetria, che viene utilizzato come parte del suo paziente a distanza-sistema di gestione per la comunicazione tra i defibrillatori, dispositivi di monitoraggio a casa, il medico, i dispositivi di programmazione.
I ricercatori hanno scoperto che il Conexus protocollo è priva di qualsiasi forma di autenticazione, il che significa che un utente malintenzionato all’interno di radio gamma – circa 20 metri dalla paziente cardiaco dispositivo può iniettare, riprodurre, modificare, e di intercettare i dati della telemetria.
E poiché il Conexus protocollo consente di dispositivi di controllo remoto per leggere e scrivere la memoria del cuore impianti, nelle vicinanze di un attaccante con un software-defined radio potrebbe anche sfruttare il protocollo, in mancanza di autenticazione per riprogrammare il dispositivo cardiaco.
Il difetto, CVE-2019-6538, è stato assegnato un CVSS livello di gravità di 9.3 su 10, secondo il Dipartimento della Homeland Security (DHS) di consulenza.
La US Food and Drug Administration dice che ha “confermato che queste vulnerabilità, se sfruttata, potrebbe consentire a un individuo non autorizzato (per esempio, qualcuno che non sia il medico del paziente) per l’accesso e potenzialmente manipolare un dispositivo impiantabile, home monitor, o in una clinica programmatore”.
Un secondo, più bassa gravità difetto che colpisce il Conexus protocollo presenta una grave minaccia alla privacy per i pazienti in quanto i dati trasmessi tra cardiaco e sui dispositivi di controllo è fatto in chiaro. Di nuovo, nelle vicinanze di un attaccante con le apparecchiature radio potrebbe intercettare comunicazioni per conoscere la persona specifica condizione.
Medtronic sottolinea nel suo advisory che Conexus telemetria non è utilizzato nel suo pacemaker.
Mentre del DHS avviso dice che il difetto richiede un “basso livello” per sfruttare, ci sono alcuni fattori attenuanti che dovrebbe creare una stretta finestra per un utente malintenzionato di sfruttare i difetti.
VEDI: sicurezza informatica in un’IoT e mobile world (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Primo, il dispositivo cardiaco deve avere comunicazioni radio abilitato. Questo accade presso la clinica prima che la procedura di impianto e durante le visite di follow-up. Al di fuori della clinica, Medtronic dice la radio, i tempi di attivazione sono “limitati, variano da paziente a paziente, e sono difficili da prevedere”.
La FDA ritiene che tali “caratteristiche di sicurezza”, ma osserva che Medtronic è al lavoro su una patch che la FDA dovrà approvare per affrontare l’autenticazione e la crittografia di debolezza.
Nonostante la gravità del difetto di autenticazione e il potenziale pericolo di vita danno, Medtronic e l’FDA raccomandava i pazienti continuano ad utilizzare i dispositivi come prescritto.
“I vantaggi del monitoraggio remoto superano la pratica del rischio di queste vulnerabilità può essere sfruttata. Questi benefici includono la prima diagnosi di aritmie, un minor numero di visite in ospedale e migliorato i tassi di sopravvivenza,” Medtronic dice.
Più di un medico per sicurezza
Si può fidare di personale Internet delle Cose?Quanto è pericoloso il pacemaker hack?IoT avviso di sicurezza: il Cyber-attacchi sui dispositivi medici potrebbero mettere i pazienti a rischio di Cattiva utente pratiche causato il 41% dei medici IoT problemi di sicurezza nel 2017 TechRepublici ricercatori di Sicurezza di trovare difetti in chip utilizzati in ospedali, fabbriche e negozi di CNET
Argomenti Correlati:
Governo – NOI
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati