Хакеры могут взломать 465 000 кардиостимуляторов
Новости Безопасность
Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) отзывает 465 000 кардиостимуляторов, сообщает Threatpost.
Проблема этих кардиостимуляторов состоит в том, что злоумышленники могут получить несанкционированный доступ и отдавать команды, изменять настройки и злонамеренно нарушать работу. В списке на отзыв четыре модели, разработанные Abbott Laboratories.
По данным FDA, отзыв кардиостимуляторов связан с исследованием MedSec Holdings, которое около года назад выявило уязвимости в оборудовании, производимом компанией St. Jude Medical. Abbott Laboratories приобрела St. Jude Medical в январе этого года.
«Abbott выпустила обновление прошивки, которое помогает бороться с уязвимостями, выявленными в кардиостимуляторах с подключением по радиоканалу. Независимый эксперт по безопасности подтвердил, что новая версия прошивки действительно борется с выявленными уязвимостями,» — говорится в сообщении FDA.
Самая опасная из трех уязвимостей (CVE-2017-12712) связана с алгоритмом аутентификации в кардиостимуляторе: ключ аутентификации и метка времени могут быть скомпрометированы или обойдены. Это позволяет злоумышленнику отдавать кардиостимулятору несанкционированные команды через радиоканал.
Еще одна ошибка (CVE-2017-12714) может значительно сократить время работы аккумулятора кардиостимулятора. «Кардиостимуляторы не ограничивают количество правильно отформатированных команд «RF-wake up», которые могут быть получены, что позволяет злоумышленнику повторно отправлять команды и тем самым добиться сокращения времени автономной работы кардиостимулятора,» — говорится в рекомендациях ICS-CERT.
Третий изъян (CVE-2017-12716), обнаруженный в кардиостимуляторах Accent и Anthem, состоит в том, что при общении с программаторами и домашними системами мониторинга эти модели передают через радиоканал незашифрованную информацию о пациенте. Кроме того, оба кардиостимулятора хранят данные пациента в незашифрованном виде в собственной памяти, что тоже нехорошо.
Это уже второй раз, когда компания Abbott Laboratories вынуждена обновить сердечные импланты. Предыдущее обновление произошло в октябре прошлого года. Тогда правительство США исследовало потенциально опасные для жизни уязвимости, которые могли преждевременно опустошать батареи кардиостимуляторов, в результате St. Jude отозвала нескольких имплантированных сердечных устройств. По данным Reuters, преждевременная разрядка батарей привела к двум смертям в Европе.
Для исправления уязвимости необходимо, чтобы пациенты посетили своего врача и получили обновление через беспроводное подключение с небольшим радиусом действия. Abbott предупреждает, что к обновлению прошивки следует подходить с осторожностью. «Как и любое обновление программного обеспечения, обновление прошивки может привести к сбоям в работе устройств», — говорится в заявлении. Испорченное обновление может привести к потере настроек или даже полному выходу устройства из строя.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
