Pacemaker-hakata voi tappaa kannettavan tietokoneen kautta

Useiden valmistajien tahdistimet voidaan ohjata toimittamaan tappava 830 voltin shokki kannettavasta kannettavasta tietokoneesta 50 metrin päähän, joten tuloksena on, Uusi tutkimus on peräisin Barnaby Jackin tietoturvan myyjältä IOActive, joka tunnetaan muiden lääketieteellisten laitteiden, kuten insuliinivälitteisten laitteiden, analyysistä.

Jack, joka puhui Breakpoint-tietoturvassa sanoi, että virhe on langattomien lähettimien ohjelmoinnissa, joita käytetään ohjeiden antamiseen sydämentahdistimille ja implantoitaville sydänvaimentimen defibrillaattoreille (ICD), jotka havaitsevat epäsäännöllisiä sydämen supistuksia ja toimittavat sähköiskun sydänkohtauksen estämiseksi

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Onnistunut hyökkäys virheen avulla "voisi varmasti johtaa kuolemaan", sanoi Jack, joka on ilmoittanut valmistajille

Videoesittelyssä Jack osoitti, kuinka hän voisi kauko-ohjata sydämentahdistinta yhtäkkiä synnyttämään 830 voltin shokin, joka kuulisi terävällä äänekkäällä popilla.

Langaton riski

Yli 4,6 miljoonaa sydämentahdistinta ja ICD-laitetta myytiin vuosina 2006-2011 vain Yhdysvalloissa, Jack sanoi. Aiemmin sydämentahdistimet ja ICD: t suunniteltiin lääketieteelliseen henkilökuntaan käyttämällä sauvaa, joka joutui kulkemaan muutaman metrin etäisyydellä potilaasta, jolla on jokin laitteista. Vauva pyörii ohjelmistokytkintä, joka sallii sen hyväksyä uudet ohjeet.

Barnaby Jack

Mutta trendi on nyt langaton. Useat lääketieteelliset valmistajat myyvät nyt vuoteensiirtolaitteita, jotka korvaavat sauvan ja joiden langattomuus on jopa 30-50 metriä. Vuonna 2006 Yhdysvaltain elintarvike- ja lääkevirasto hyväksyi 400 MHz: n kokoiset 400 MHz: n taajuudella toimivat täydet radiotaajuiset implantoitavat laitteet.

Tämän laajan lähetysalueen ansiosta etäiskuja ohjelmistoa vastaan ​​toteutuu entistä helpommin, Jack sanoi. Jack selvitti lähettimet, kun laitteet löysivät sarjanumeronsa ja mallinumeronsa sen jälkeen, kun hän oli langattomasti yhteydessä johonkin erityiseen komentoon.

Sarjan ja mallinumerojen avulla Jack voisi sitten ohjelmoida uudelleen lähettimen laiteohjelmiston, mikä anna sydämentahdistimen tai ICD: n uudelleenohjelmointi henkilön kehossa.

"Ei ole vaikeaa nähdä, miksi tämä on tappava piirre", Jack sanoi.

Hänen tutkimuksensa on vasta alkamassa. FDA, hän sanoi, vain tarkastelee laitteiden lääketieteellistä tehokkuutta ja ei tee laitteen koodin tarkistamista.

"Tavoitteenani on lisätä tietoisuutta näistä mahdollisista hyökkäyksistä ja kannustaa valmistajia toimimaan valvomalla heidän koodinsa eivätkä pelkästään näiden laitteiden perinteiset turvallisuusmekanismit ", Jack sanoi.

Tietojen heikkoudet myös

Hän havaitsi myös muita laitteiden ongelmia, kuten usein ne sisältävät henkilötietoja potilaista, kuten heidän nimensä ja lääkärin. Lisäksi havaittiin muita epäluotettavia koodin merkkejä, kuten mahdollinen pääsy ohjelmistoihin kehitettyihin etäpalvelimiin.

"Uusi toteutus on puutteellista niin monella tavalla", Jack sanoi. "Se on todella uudistettava."

Jack kehittää "Electric Feel" -sovellusta, jossa on graafinen käyttöliittymä, jonka avulla käyttäjä voi etsiä lääketieteellistä laitetta alueella. Luettelo tulee näkyviin, ja käyttäjä voi valita laitteen, kuten sydämentahdistimen, joka voidaan sammuttaa tai konfiguroida iskutilanteeseen.

Vakioakustevalo

Jos tämä ei ole tarpeeksi huono, Jack sanoi, että on mahdollista ladata erikoistuneita laiteohjelmistoja yrityksen palvelimiin, jotka saastuttaisivat useita sydämentahdistimia ja ICD-levyjä, levittävät järjestelmien läpi todellisen viruksen.

"Mahdollisesti katsomme matoa, jolla on kyky tehdä joukkomurha", Jack sanoi. "Se on eräänlainen pelottava."

Ironista kyllä, sekä implantit että langattomat lähettimet pystyvät käyttämään AES (Advance Encryption Standard) salausta, mutta se ei ole käytössä, Jack sanoi. Laitteilla on myös "backdoors" tai ohjelmoijien pääsyn niihin ilman standardinmukaista todentamista käyttäen sarjanumeroa ja mallinumeroa.

Laillisella lääketieteellisellä tarpeella, koska ilman takakuvia, saatat joutua "leikkaamaan joku avoimeksi" Jack sanoi. "Mutta jos heillä on takaoven, ainakin se on upotettu syvälle ICD-ytimeen. Nämä ovat kalliita laitteita."

Jackin esitys oli kauniisti kuvitettu sarjakuvaan tavalla. Yhdessä vaiheessa dia esitti miehen, joka näytti aivan samanlaiselta kuin entinen Yhdysvaltain varapresidentti Dick Cheney, joka on jo pitkään kärsinyt sydänongelmista. Laitteessa olevat virheet, Jack sanoi, voivat tarkoittaa, että hyökkääjä voi tehdä "melko nimettömän salamurhan" 50 metrin päässä.

"Minulle kannettava tietokone ei näytä laitetta, joka kykenee tappaa joku". Jack kertoi.

Tai yleisön jäsen lisäsi: "Kuulokkeen salama ei ole kannettavan tietokoneen kanssa."

Lähetä uutisvihjeitä ja kommentteja [email protected]. Seuraa minua Twitterissä: @jeremy_kirk