Два десятка моделей кардиовертеров-дефибрилляторов компании Medtronic, одного из крупнейших производителей медицинских приборов, не требуют аутентификации при беспроводном подключении. Это позволяет злоумышленнику нарушить сердечный ритм пациента, изменив настройки прибора или подав прямую команду на дефибриллятор. Полный список устройств, подверженных уязвимости, доступен на сайте Medtronic, также информация об уязвимости опубликована на сайте Министерства внутренней безопасности США.
Кардиостимуляторы и кардиовертеры-дефибрилляторы, поддерживающие беспроводное подключение, получили широкое распространение, поскольку не требуют хирургического вмешательства для считывания данных о состоянии прибора и изменения настроек, что, например, актуально при сердечной ресинхронизирующей терапии. При этом производители медицинского оборудования могут использовать собственные проприетарные протоколы связи, безопасность которых может быть под вопросом.
Многие медицинские приборы, производимые Medtronic, используют для беспроводной передачи данных проприетарный протокол Conexus. Специалисты по информационной безопасности обнаружили, что этот протокол не только передает данные в незашифрованном виде, но и не требует аутентификации при беспроводном подключении к медицинским приборам, в том числе к имплантируемым дефибрилляторам. Потенциально это позволяет злоумышленнику вызвать у пациента нарушение сердечного ритма, что, в свою очередь, может привести к серьезным проблемам со здоровьем, вплоть до летального исхода.
«Такая атака может причинить вред пациенту путем стирания настроек, отвечающих за лечение, либо путем прямой команды на дефибриллятор», — заявил в беседе с TechCrunch Питер Морган, обнаруживший уязвимость и сообщивший о ней Medtronic в январе. «Поскольку протокол не поддерживает аутентификацию, имплантированный дефибриллятор не видит разницы между командами от доверенного устройства Medtronic и командами, полученными от злоумышленника».
Medtronic опубликовала информацию об уязвимости, приведя полный список устройств, подверженных беспроводному подключению без аутентификации, а также заявила, что «польза для здоровья при использовании беспроводного мониторинга перевешивает реальный риск использования уязвимости». При этом представители компании уточнили, что имплантируемые приборы не работают в режиме связи непрерывно, а лишь периодически (в зависимости от настроек конкретного прибора и пациента) пробуждаются, и регулярность этих попыток выйти на связь тяжело предсказать стороннему человеку. Кроме того, приборы предназначены для связи на ближнем расстоянии (до шести метров). Поэтому для того, чтобы воспользоваться уязвимостью, злоумышленнику нужно не только разбираться в протоколе Conexus и электрофизиологии, но и находиться рядом с пациентом в нужный момент времени на небольшом расстоянии. Кроме того, Medtronic уточняет, что обычные кардиостимуляторы не используют протокол Conexus, поэтому не подвержены уязвимости.
Компания также заявляет, что уже работает над устранением уязвимости, однако каким образом и когда оно будет реализовано, не уточняется. После того, как уязвимость будет устранена, Medtronic уведомит врачей и пацентов, при этом в заявлении отдельно подчеркивается, что до сих пор не зарегистрировано ни одного случая использования уязвимости для неавторизованного доступа к настройкам кардиовертеров-дефибрилляторов.
Несколько лет назад ученые выяснили, что кардиостимуляторы и кардиовертеры-дефибрилляторы уязвимы не только перед рамками металлодетекторов, но и перед системами электронного отслеживания товаров в магазинах, которые устанавливаются для предотвращения краж. При этом такой эффект наблюдался лишь рядом с отдельно стоящей рамкой (пьедесталом). Сканеры других типов (в дверных рамах, стенах и полу) подобного действия не оказывали.
Николай Воронцов