Fakta bahwa produsen berbagai jenis perangkat fokus pada desain dan kemudahan penggunaan, meninggalkan masalah keamanan informasi, ditulis berulang kali di Habré. Ini berlaku untuk perusahaan yang memproduksi smartphone, gadget IoT, plus ternyata pengembang gadget medis juga tidak terlalu khawatir melindungi perangkat mereka dari gangguan luar.
Dan kita berbicara tentang alat vital seperti alat pacu jantung dan defibrillator (bukan yang ditunjukkan dalam seri tentang dokter, yang lain). Ini adalah perangkat mini yang ditanamkan di tubuh manusia sehingga ketika jantung bekerja dengan masalah, ia menerima sinyal listrik yang memungkinkan Anda untuk "mengaktifkan" mode operasi normal otot jantung.
Jika sesuatu terjadi pada gadget semacam itu, maka pemiliknya akan menghadapi masalah yang tak terhindarkan, bahkan kematian. Yang terburuk, defibrillator menjadi semakin "pintar." Mereka yang dari Medtronic juga rentan terhadap gangguan eksternal.
Untuk melayani dan memverifikasi operasi perangkat, perangkat khusus digunakan. Di rumah sakit, model yang disebut CareLink Programmer digunakan, di rumah - MyCareLink Monitor.
Dan semuanya akan baik-baik saja, tetapi, seperti yang ditunjukkan oleh para peneliti di Clever Security, protokol komunikasi yang digunakan oleh perangkat ini tidak aman. Saat mengirimkan data, enkripsi tidak digunakan - tidak ada sama sekali, informasi ditransmisikan, pada kenyataannya, di tempat yang jelas. Selain itu, tidak ada perlindungan terhadap koneksi eksternal, yang dapat digunakan oleh penyerang.
Dengan demikian, penjahat dunia maya dapat terhubung ke gadget dan mengubah mode operasinya atau merefleksikan semuanya menggunakan perangkat lunak khusus.
Para ahli menilai tingkat keparahan masalah pada 9,3 poin pada skala 10 poin. Situasinya benar-benar sangat sulit, karena tidak mungkin mengubah apa pun dengan tujuan memperkuat keamanan informasi perangkat dalam mode online. Dan penyerang mungkin menggunakan masalah untuk tujuan mereka sendiri.
Sejauh ini, para peneliti hanya melakukan serangan proof-of-concept, hanya untuk menunjukkan kemampuan yang disebutkan dalam penelitian. Benar, ini memerlukan akses fisik ke perangkat kontrol - MyCareLink atau CareLink. Jika ada akses, maka tindakan yang paling tidak bersalah mungkin untuk mendapatkan data pengguna yang tersimpan di perangkat. Jika diinginkan, Anda dapat merombak perangkat, seperti disebutkan di atas.
Tetapi ada kemungkinan lain - penyerang, jika mereka memiliki pengalaman yang sesuai, dapat membuat perangkat khusus yang, berada dalam jangkauan defibrillator, dapat mengatur mode operasi spesifik untuk perangkat apa pun yang diproduksi oleh Medtronic.
Tentu saja, para ahli keamanan dunia maya memposting informasi tentang masalah dalam domain publik setelah mereka mengirim semua yang diperlukan untuk para pengembang perangkat medis. Mereka memperkuat sistem mereka dengan membuat akses ke MyCareLink dan CareLink lebih sulit. Tetapi koneksi tetap tidak terlindungi - tidak ada enkripsi dan otentikasi.
Omong-omong, kedua perangkat kontrol menjalankan versi kustom Linux. Kata sandi yang memungkinkan akses root ke gadget ini disimpan sebagai hash MD5, yang dapat didekripsi tanpa kesulitan. Menurut para peneliti, kata sandi 8 digit yang memberikan akses ke sistem ini dapat dipecahkan bahkan dengan menggunakan laptop biasa dan basis kata sandi / login dari layanan RockYou, dibagikan 10 tahun yang lalu.
Benar, agar serangan penyerang berhasil, defibrillator harus dalam keadaan mendengarkan "radio". Gadget memasuki mode ini pada saat dokter melakukan pekerjaan layanan khusus, serta selama tes defibrillator menggunakan Carelink.
Masalah dengan perangkat medis tidak berakhir di sana, karena hanya masalah yang melekat pada jenis gadget tertentu dari salah satu produsen yang ditampilkan. Tetapi ada banyak implan medis "pintar", dan tidak ada yang bisa menjamin bahwa gadget lain lebih aman daripada sistem yang diproduksi oleh Medtronic.