Een Amerikaanse fabrikant van pacemakers noemt eenrapport dat vorige week verscheen en claimde dat de apparatuur vol ernstige kwetsbaarheden zat vals en misleidend. Het rapport was opgesteld door beveiligingsbedrijf MedSec en uitgegeven door investeringsbedrijf Muddy Waters.

Volgens de onderzoekers bevat de apparatuur ernstige kwetsbaarheden waardoor een aanvaller op afstand de pacemakers kan uitschakelen, de hartslag gevaarlijk kan verhogen of de batterij kan laten leeglopen. De aanval zou zijn uit te voeren via de Merlin@home-apparaten, die worden gebruikt om de pacemakers te monitoren. Een aanvaller zou met een dergelijk apparaat, dat gewoon op eBay te koop is, de pacemakers van willekeurige patiënten kunnen bedienen.

Door de publicatie van het rapport hoopten zowel het beveiligingsbedrijf als investeringsbedrijf te verdienen. Muddy Waters was namelijk "short" gegaan op de aandelen van St Jude Medical. Als de koers naar aanleiding van het onderzoeksrapport daalde zou het investeringsfonds hiervan profiteren en de winst vervolgens met het beveiligingsbedrijf delen.

Reactie

St Jude Medical stelt in een reactie dat het onderzoek ondeugdelijk is. De Merlin@home-apparaten beschikken over een automatische updatefunctie zodat ze steeds van nieuwe beveiligingsfuncties worden voorzien. De onderzoekers van MedSec zouden echter met een verouderd model hebben getest.

Ook zou de claim dat een aanvaller op een afstand van 15 meter de batterij kon laten leeglopen niet kloppen, aangezien de apparatuur over een maximale afstand van 2 meter kan communiceren. Wat betreft de claim dat een aanvaller de pacemakers kan laten crashen of manipuleren zou onvoldoende zijn onderbouwd. Patiënten lopen volgens de pacemakerfabrikant dan ook geen risico.

Kritiek

Beveiligingsexpert Robert Graham van beveiligingsbedrijf Errata Security hekelt zowel het optreden van MedSec en Muddy Waters als dat van St Jude Medical. Het onderzoeksdocument zou namelijk aan alle kanten rammelen en lijkt vooral bedoeld te zijn om beleggers bang te maken. Verder claimt het rapport dat openheid juist slecht voor security is, en bedrijven beter gesloten systemen kunnen ontwikkelen. Iets wat juist andersom is, aldus Graham. De reactie van St Jude Medical is volgens de expert niet veel beter. Ondanks de gebreken hebben de onderzoekers wel aangetoond dat zaken als authenticatie en encryptie ontbreken en het wel mogelijk is om de batterij van de pacemaker leeg te laten lopen.

De opmerking dat de apparaten een maximaal bereik van 2 meter hebben zou ook niet kloppen, aangezien draadloze communicatie niet na 2 meter opeens helemaal stopt. Met directionele antennes en versterkers kan het signaal ook op een langere afstand worden opgepikt. Verder stelt Graham dat de door Muddy Waters en MedSec gehanteerde methode slecht voor beveiligingsonderzoek is, aangezien veel bedrijven al moeite hebben om met beveiligingsonderzoekers te communiceren en dit soort zaken het niet eenvoudiger maakt.