USA varoittaa kehon sisään asennettavista sydäniskureista – jopa 750 000 laitetta hakkeroitavissa

Julkaistu:

Haavoittuvuudet
Ihmisten kehon sisälle laitetuissa defibrillaattoreissa piilee hakkerointivaara. Valmistajan mukaan korjaus on tulossa, mutta uhka käyttäjälle on joka tapauksessa pieni.
Medtronic-yhtiön potilaisiin asennettavista defibrillaattoreista eli sydäniskureista on paljastunut haavoittuvuuksia, Yhdysvaltain sisäisen turvallisuuden ministeriö DHS kertoo. Uhkana on potilastiedon vuotaminen ulkopuolisille ja myös itse laitteen kaappaaminen ja sen toiminnan muuttaminen.

Haavoittuvuudet löytänyt tietoturvayhtiö Clever Security pystyi Ars Technican mukaan osoittamaan, että laitteiden sydänpotilaille antamiin pieniin sähköiskuihin on mahdollista tehdä potentiaalisesti jopa tappavia muutoksia. Lisäksi laitteen firmware eli laiteohjelmisto oli mahdollista lukea ja kirjoittaa kokonaan uudelleen.

Tutkijat tarvitsivat hyökkäykseen fyysisen pääsyyn laitteiden kanssa käytettävään MyCareLink- tai CareLink-konsoliin, mutta hyökkäyksen toteuttaminen ilman konsolia on myös arviolta mahdollista.

Haavoittuvien laitteiden koko lista on pitkä:
  • MyCareLink Monitor, versiot 24950 ja 24952
  • CareLink Monitor, versio 2490C
  • CareLink 2090 Programmer
  • Amplia CRT-D (kaikki mallit)
  • Claria CRT-D (kaikki mallit)
  • Compia CRT-D (kaikki mallit)
  • Concerto CRT-D (kaikki mallit)
  • Concerto II CRT-D (kaikki mallit)
  • Consulta CRT-D (kaikki mallit)
  • Evera ICD (kaikki mallit)
  • Maximo II CRT-D ja ICD (kaikki mallit)
  • Mirro ICD (kaikki mallit)
  • Nayamed ND ICD (kaikki mallit)
  • Primo ICD (kaikki mallit)
  • Protecta ICD ja CRT-D (kaikki mallit)
  • Secura ICD (kaikki mallit)
  • Virtuoso ICD (kaikki mallit)
  • Virtuoso II ICD (kaikki mallit)
  • Visia AF ICD (kaikki mallit)
  • Viva CRT-D (kaikki mallit)
Haavoittuvia laitteita on arviolta jopa 750 000, mutta hyökkääjällä on oltava pääsy lähelle uhria. Vaaraa Star Tribunelle arvioineen Medtronicin johtajan Robert Kowalin mukaan hyökkääjän olisi oltava vähintään noin kuuden metrin päässä uhrista. Hyökkäys on myös mahdollinen vain hetkinä, jolloin laite on radiokuuntelutilassa. Lisäksi johtajan mukaan hyökkääjällä tulee olla syvällinen tietämys laitteen toiminnasta ja erikoistunut laitteisto iskun tekemiseksi.

Medtronic näyttää olevan jossain määrin eri linjoilla Yhdysvaltain DHS:n kanssa, sillä ministeriön mukaan hyökkäys edellyttää vain vähäistä osaamista. Medtronic on pyrkinyt toistaiseksi rajoittamaan ongelmaa, mutta jatkaa yhä uhkan korjaamista. Todisteita todellisista hyökkäyksistä ei ole.

DHS:n mukaan laitteita on käytössä ympäri maailman. Medtronic on toiminut Suomessa vuodesta 1968. IS Digitoday on pyytänyt asiasta lisätietoja Medtronicilta. Meditronic ei ole vielä vastannut tiedusteluun.

Vastaavia ongelmia on aikaisemmin löytynyt muun muassa muiden valmistajien sydämentahdistimista.
Ministeriö antaa useita ohjeita haavoittuvien laitteiden käyttäjille. Heidän tulisi muun muassa huolehtia siitä, ettei ulkopuolisilla ole pääsyä kodissa pidettävälle defibrillaattorin valvontakonsolille ja käyttää konsolia vain yksityisissä tiloissa. Konsolin usb-porttiin tai muihin liittimiin ei tule kytkeä hyväksymättömiä ulkoisia laitteita. Tuotteiden poikkeavasta toiminnasta tulee ilmoittaa lääkärille tai Medtronicin edustajalle.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt