Hackable dispositifs médicaux pourrait causer des décès, les chercheurs disent

    0
    4

    Une gamme de dispositifs médicaux à neuf récemment découvert des failles de sécurité ne sera pas corrigé par le fabricant, en dépit de la possibilité que, en cas d’abus, les faiblesses peut entraîner des blessures ou la mort.

    Dans la nouvelle étude présentée lors du Black Hat de sécurité de l’information de la conférence, une paire de chercheurs en sécurité à distance désactivé pompe à insuline implantable, l’empêchant de livrer les médicaments, et puis il a pris le contrôle total d’un stimulateur cardiaque système, leur permettant de livrer des logiciels malveillants directement aux ordinateurs implantés dans le corps d’un patient.

    Jonathan Mégots de la QED, des Solutions Sécurisées et Billy Kim Rios de Whitescope.io démontré les hacks dans une session live, avertissement n’importe qui avec un appareil médical implanté à quitter la salle avant la délivrance de la désactivation de la commande de la pompe à insuline.

    Pour prendre le contrôle du stimulateur cardiaque, Rios et les Mégots sont allés jusqu’à la chaîne, le piratage du système qu’un médecin de l’utiliser pour programmer un patient stimulateur cardiaque. Leur hack a réécrit le système pour remplacer l’arrière-plan avec un sinistre crâne, mais un vrai hack pourrait modifier le système invisible, tout en veillant à ce que toute stimulateur cardiaque relié à il serait programmé par des instructions. “Vous pouvez bien évidemment question d’un choc, des” bouts a dit, “mais vous pouvez également refuser un choc.” Parce que les appareils sont implantés pour une raison quelconque, il a ajouté que le refus de traitement peut être aussi dommageable que les démarches de mal.

    Piraté les systèmes par satellite pourrait lancer un four à micro-ondes-comme les attaques, avertit l’expert

    Lire plus

    La paire critiqué Medtronic, le fabricant de périphériques, de sa réponse aux découvertes. “Nous avons d’abord signalé le fabricant 570 jours, des” bouts dit.

    “À propos de 155 jours, on leur a dit comment quelqu’un pourrait en fait s’en emparer,” Rios ajouté. La paire partagé spécifique de la preuve-de-concept attaques avec la société, en mettant en évidence le dommage qui pourrait en être fait. “Il y a des mois, nous avons atteint un point tournant et a dit ” assez est assez,” dit-il, de les inciter à présenter au public leur expérience lors de la conférence.

    Les crosses et les Rios également critiqué Medtronic est la lenteur de la réponse et tente de minimiser les faiblesses. Dans son cybersécurité des alertes, la compagnie a déclaré que les attaques n’étaient pas possible à distance, et n’a pas entièrement expliquer comment que soit l’ampleur des faiblesses ont été. Un bulletin d’avertissement à propos de la faiblesse de Rios et Mégots utilisé pour reprogrammer le stimulateur cardiaque, par exemple, il dit seulement qu’un attaquant “pourrait influencer” les données envoyées à sa mise à jour du logiciel système. “Quand quelqu’un se fait de cet avis, et ils sont la lecture de ce langage, il est presque impossible pour eux de comprendre quels sont les risques,” Rios a déclaré.

    Medtronic a dit qu’il ne sera pas corrigé les failles découvertes, au lieu de recommander aux patients et aux médecins de prendre des précautions supplémentaires avec les réseaux ils permettent de connecter les appareils. La compagnie dit que les défauts de poser un “faible (acceptable)” risque pour la sécurité des patients.

    Suzanne Schwartz, de la FDA, directeur responsable de l’agence de cybersécurité de partenariats, a déclaré que l’étude de cas illustre une “lacune ” dans l’écosystème.

    Piratage de risque conduit à rappeler de 500 000 stimulateurs cardiaques en raison de la mort du patient, les craintes

    Lire plus

    “Les fabricants se retrouvent à différents endroits de leur capacité à répondre,” Schwartz a ajouté. “En fin de compte, nous voulons faire en sorte que ces dispositifs, qui fournissent la capacité extraordinaire pour les patients de mener une bonne qualité de vie, sont protégés contre les attaques.”

    Un porte-parole de Medtronic a dit que la compagnie avait “évaluation indépendante” les vulnérabilités potentielles mis en évidence par Whitescope et était “pas au courant de toutes les vulnérabilités supplémentaires qu’ils ont identifié à ce moment”.

    “Medtronic lieux de la sécurité des produits au-dessus de toutes les considérations,” la société a ajouté. “Tous les appareils comportent certains risques associés, et, comme les organismes de réglementation, nous nous efforçons continuellement d’équilibrer les risques et les avantages de nos appareils.”