Эксперты обнаружили (снова!) уязвимости в продукции Medtronic, выпускающую кардиостимуляторы, имплантируемые дефибрилляторы, устройствами ресинхронизации сердца и вставные сердечные мониторы.
Как сообщает Threatpost, уязвимости нашли в программерах CareLink 2090 и CareLink Encore 29901, с помощью которого имплантированными стимуляторами управляют в амбулаторных условиях. Дыра позволяла удаленно загрузить и выполнить код через служащую для обновлений и обслуживания ПО-сеть Medtronic под названием Software Deployment Network (SDN).
По словам исследователей, уязвимость позволяла бы злоумышленнику (о реальных случаях не сообщалось) изменять функционал программеров и в конечном итоге нанести вред здоровью пациента. Medtronic посчитала ситуацию настолько серьезной, что отключила целиком SDN, а апдейты прошивки к устройствам начала раздавать вручную, через защищенные USB.
Ранее АКБ сообщало, что эксперты обнаружили уязвимость удаленного доступа в прошивке кардиостимуляторов Medtronic (популярных, в том числе, и в России) . А также почти во всей остальной медтехнике компании Medtronic.
Как сообщают специалисты, они информировали производителя о проблеме еще в январе, но оперативной реакции не последовало. На августовской конференции Black Hat в Лас-Вегасе эксперты продемонстрировали возможность взлома в реальном времени. Уязвимость состоит в том, что прошивка не защищена цифровой подписью, а обновления для программистов медицинских аппаратов передаются по незащищенным каналам: таким образом, возможно внедрить вредоносную прошивку, способную управлять количеством ударов сердца пациента через стимулятор. Излишне говорить, к каким последствиям это может привести.
Также эксперты продемонстрировали несколько других уязвимостей в продуктах фирмы Medtronic, например, в инсулиновой помпе, в которой можно удаленно форсировать подачу лекарства или, наоборот, заблокировать его.
Напомним, в прошлом году Управление по контролю за качеством пищевых продуктов и лекарственных препаратов США (Food and Drug Administration) объявило об отзыве некоторых моделей кардиостимуляторов производства компании Abbott, в прошлом известной как St. Jude Medical. Устройства оказались уязвимы для удаленного взлома, в результате чего, находясь на сравнительно небольшом расстоянии от жертвы, хакер мог снизить заряд аккумулятора устройства или ускорить сердцебиение.
