Исследователи передали информацию об уязвимости кардиостимуляторов третьей стороне

Исследователи передали информацию об уязвимости кардиостимуляторов третьей стороне

Компания MedSec, специализирующаяся на информационной безопасности медицинских устройств, передала информацию о найденных уязвимостях в кардиостимуляторах и дефибрилляторах St. Jude Medical инвестиционному фонду Muddy Waters Research. 25 августа фонд Muddy Waters опубликовал отчет, содержащий общее описание уязвимостей, позволяющих провести удаленные атаки на медицинские устройства и вызвать сбой их работы (например, задать опасный для пациента сердечный ритм) или привести к разрядке батарее устройства.

Система St. Jude Medical состоит из 4-х компонентов:

  1. Кардиостимулятора, имплантируемого, как правило, для лечения брадикаридии и тахикардии. Эти устройства активируют по радиоканалу и могут взаимодейтсвовать с сервисом Merlin@Home и программаторами.
  2. Программаторы критически важны для всей экосистемы: они используются техниками или медицинскими специалистами для опроса, программирования и отображения данных кардиостимулятора.
  3. Интернет-сервис Merlin.net позволяет передавать данные между кардиостимулятором, программатором и устройством Merlin@home. Эта данные могут включать информацию о пациенте, диагностические данные, а также обновления устройства.
  4. Устройство Merlin@home позволяет взаимодействовать по радиоканалу с кардиостимулятором: получать от него данные о состоянии пациента и далее передавать их в Merlin.net.

Для исследователей стало шоком, что устройства STJ  легко поддаются реверс-инжинирингу, содержат множественные уязвимости, а приобрести продукты Merlin@home можно даже на еbay, где они стоят не более $35. Кардиостимулятор и устройство Merlin@home могут взаимодействовать на расстоянии до 15 метров, а получение root-привелегий занимает не более 10 минут. Root-привелегии позволяют получить доступ к конфиденциальной информации, включая учетные данные Merlin.net, а также приватные SSH-ключи.

Как правило, если исследователи обнаруживают подобные уязвимости, они сообщают о них напрямую к разработчику медицинского устройства, однако MedSec пошли другим путем. В отчете говорится, что компанию на этот шаг толкнули опасения относительно St. Jude Medical, которая, по их словам, поставила бы свои прибыли выше безопасности пациентов. Министерство внутренней безопасности США уже проводило расследование в отношении St. Jude Medical  из-за наличия уязвимостей в их устройствах, однако эти уязвимости до сих пор существуют и была велика вероятность, что и на этот раз St. Jude Medical  попытается скрыть проблему.

В результате публикации отчета акции St. Jude Medical упали на 4,4%. Таким образом, зная о предстояющем падении, MedSec и Muddy Waters смоги сыграть на понижение. По некоторым оценками их прибыль могла превысить $80 млн.

В свою очередь, St. Jude Medical ответили на доклад развернутым опровержением. Компания утверждает, что многие обвинения MedSec и Muddy Waters невозможно проверить, некоторые не соответствуют действительности или относятся к старым моделям. После установки имплантата радиус действия коммуникаций составляет не более двух метров. Кроме того, чтобы разрядить аккумулятор, хакеру необходимо подавать сигналы на устройство в течение нескольких дней. В результате публикации отчета компании удалось отыграть 3%.

Теги: