image

Pacemakers door onveilig protocol kwetsbaar voor aanvallen

vrijdag 22 maart 2019, 11:49 door Redactie, 11 reacties

Pacemakers en implanteerbare hartapparaten van fabrikant Medtronics maken gebruik van een onveilig telemetrieprotocol en zijn hierdoor kwetsbaar voor aanvallen, zo waarschuwt de Amerikaanse overheid. Een aanvaller in de buurt van een slachtoffer kan hierdoor op afstand de pacemaker manipuleren.

Voor de communicatie tussen monitoringapparaten en pacemakers wordt er gebruik gemaakt van het draadloze Conexus-telemetrieprotocol. Via dit protocol, dat werkt via radiofrequenties, kunnen programmeer- en monitoringapparaten data van de pacemakers uitlezen en de instellingen aanpassen. Het protocol maakt echter geen gebruik encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon de pacemaker of programmeer- en monitoringapparaten op afstand manipuleren, aldus de Amerikaanse toezichthouder FDA.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,3 beoordeeld. Het onversleuteld versturen van gevoelige gegevens kreeg een score van 6,5. Medtronic zou inmiddels aan beveiligingsupdates werken, maar wanneer die verschijnen is nog niet bekend (pdf). De fabrikant adviseert patiënten om de pacemakers en monitoringapparaten te blijven gebruiken. "De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."

Reacties (11)
22-03-2019, 12:45 door Remmilou
"De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."
Yeah... right...
22-03-2019, 12:59 door Anoniem
Pffff. Zit je eindelijk in een ge-update Boeing 737 MAX, hackt iemand je pacemaker. Maar ze zijn bezig aan een update.
22-03-2019, 13:21 door SPer
ik verbaas me erover dat de CVSS score slechts een 9,3 is , een pacemaker manipuleren kan tot de dood van de patient leiden .
22-03-2019, 13:36 door Anoniem
Door Remmilou:
"De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."
Yeah... right...

Inderdaad, volkomen right.

Het aantal moordlustige electronica nerds dat met een werkende pacemaker-reconfigurator rondloopt binnen zendbereik van een drager van een kwetsbare pacemaker is echt bijzonder klein.
Daarintegen zal er inderdaad een meetbaar (gemeten) nut zijn van remote monitoring van dragers van de pacemaker.

Het risicoprofiel is misschien net anders wanneer je werkelijk doel bent van statelijke actoren, maar dan loop je uberhaupt meer risico's op een niet-natuurlijke dood . Ze vinden het in die gevallen niet eens erg als het (h)erkend wordt als moord - ter afschrikking van anderen.
22-03-2019, 15:22 door [Account Verwijderd]
Door Remmilou:
"De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."
Yeah... right...

Je snapt ook werkelijk geen bal van het enorm grote nut van deze remote monitoring hè?
Het is weer de zo voor de hand liggende o zo voorspelbare eerste onbenullige reactie van haantjes de voorsten die met domme one-liners denken een IQ van +130 te etaleren en daarmee aantonen niet veel hoger te scoren dan ten uiterste 85.

Degenen die zo'n hulpmiddel dragen zijn maar wat blij dat voor het analyseren van de functionaliteit van deze pace-makers en/of ICD* je niet meer elke 2 jaar open gesneden hoeft te worden als een braadkip om het maar eens plastisch uit te drukken!

Mijn advies: Eerst informatie vergaren over waarop je denkt te reageren. Dan goed nadenken en formuleren. In concept je post opstellen. Dan pas publiceren.
Oh ja. en alsjeblieft zeg: Nederlands a.u.b. !

(*) ICD: https://www.hartstichting.nl/hart-en-vaatziekten/behandelingen/icd
22-03-2019, 16:50 door Anoniem
Door SPer: ik verbaas me erover dat de CVSS score slechts een 9,3 is , een pacemaker manipuleren kan tot de dood van de patient leiden .

Op een CVSS v3 schaal, die loopt van nul tot tien, is een 9,3 zeer hoog te noemen, want het probleem wordt daarmee als kritiek aangemerkt. Reken maar dat Medtronics er hard aan werkt. Hun goede naam staat op het spel.

Textual severity ratings of None (0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), and Critical (9.0-10.0)

https://en.wikipedia.org/wiki/CVSS#Version_3

Vergelijk dit maar met een remote exploit op OpenBSD.
22-03-2019, 20:59 door Remmilou
Door Brainpresser:
Door Remmilou:
"De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."
Yeah... right...
... deze remote monitoring hè?...
Oh ja. en alsjeblieft zeg: Nederlands a.u.b. !
Grappig wel...
22-03-2019, 21:06 door Remmilou
Door Brainpresser:
Door Remmilou:
"De voordelen van remote monitoring zijn groter dan de praktische risico's dat deze kwetsbaarheden worden misbruikt."
Yeah... right...

Je snapt ook werkelijk geen bal van het enorm grote nut van deze remote monitoring hè?
Het is weer de zo voor de hand liggende o zo voorspelbare eerste onbenullige reactie van haantjes de voorsten die met domme one-liners denken een IQ van +130 te etaleren en daarmee aantonen niet veel hoger te scoren dan ten uiterste 85.

Degenen die zo'n hulpmiddel dragen zijn maar wat blij dat voor het analyseren van de functionaliteit van deze pace-makers en/of ICD* je niet meer elke 2 jaar open gesneden hoeft te worden als een braadkip om het maar eens plastisch uit te drukken!

Mijn advies: Eerst informatie vergaren over waarop je denkt te reageren. Dan goed nadenken en formuleren. In concept je post opstellen. Dan pas publiceren.
Oh ja. en alsjeblieft zeg: Nederlands a.u.b. !

(*) ICD: https://www.hartstichting.nl/hart-en-vaatziekten/behandelingen/icd

Wat een flame war (ook lekker Nederlands...) meteen zeg. Best flauw die insinuaties over mijn IQ.
Ik begrijp het nut maar al te goed. Een collega van me loopt er mee rond. Hij heeft me er veel over verteld.Een absolute zegen.
Mijn reactie betreft de "Wij van WC-Eend" geruststellende woorden van de fabrikant. Ik zie nu aan de reacties dat dat niet duidelijk was. Mijn fout.
23-03-2019, 10:33 door Anoniem
En dan wel reclame ervoor maken op YouTube met hoe zaligmakend deze pacemaker en diens app is!
23-03-2019, 21:26 door Anoniem
Er zijn maar weinig hardware fabikanten die het echt iets aan 'product security by design' doen. We gaan daar dan ook steeds meer last van ondervinden.
24-03-2019, 00:37 door Anoniem
Door Anoniem: Er zijn maar weinig hardware fabikanten die het echt iets aan 'product security by design' doen.

Dan zou wel handig zijn als er een gedocumenteerde lijst is van die weinige hardware fabrikanten, die dat wel consequent doen. Dan kan men de rest van de beunhazen, als middenstander en consument, namelijk botweg negeren.

Ken jij zo'n lijst?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.