image

Investeringsbedrijf onthult ernstige lekken in pacemakers

vrijdag 26 augustus 2016, 17:55 door Redactie, 8 reacties

Een beveiligingsbedrijf en een investeringsbedrijf uit de Verenigde Staten hebben ernstige kwetsbaarheden in de pacemakers van het bedrijf St Jude Medical naar buiten gebracht om niet alleen patiënten te informeren maar er zelf ook financieel van te profiteren.

Via de beveiligingslekken kan een aanvaller met nauwelijks enige technische kennis de hartslag gevaarlijk verhogen, de apparaten uitschakelen of de batterij laten leeglopen. Een oplossing is nog niet beschikbaar. In tegenstelling wat beveiligingsbedrijven en -onderzoekers in dit soort situaties vaak doen, het waarschuwen van de fabrikant, besloot beveiligingsbedrijf MedSec de fabrikant niet te informeren. Niet alleen zou de veiligheid van de producten van St Jude Medical ernstig te wensen overlaten, volgens de onderzoekers wist het bedrijf al sinds 2013 van de beveiligingsproblemen af, maar besloot het geen actie te ondernemen.

Om naar eigen zeggen patiënten te helpen en het probleem wereldkundig te maken werd de hulp van investeringsbedrijf Muddy Waters ingeschakeld. Niet alleen heeft het investeringsbedrijf het onderzoeksrapport gepubliceerd (pdf), ze stellen ook dat St Jude Medical twee jaar lang geen winst zal maken, omdat het bedrijf volgens de investeerders alle pacemakers moet terugroepen. De apparaten waren vorig jaar voor bijna de helft van de omzet verantwoordelijk. "We vinden de kwetsbaarheden in de pacemakers van St Jude Medical vele malen erger dan de hacks van medische apparaten die in het verleden zijn geopenbaard." Het investeringsbedrijf meldt dat het geen kennis van cybersecurity heeft, maar de aanvallen zelf heeft kunnen nabootsen.

Het probleem zijn de Merlin@home-apparaten die zich in het huis van patiënten bevinden en worden gebruikt om met de pacemakers van St Jude Medical te communiceren. Vervolgens sturen de apparaten de gegevens naar het netwerk van St Jude Medical door. Volgens MedSec wordt er geen authenticatie en encryptie voor de communicatie gebruikt. Iedereen die een Merlin@Home-apparaat weet te vinden, die voor 35 dollar op eBay zouden worden aangeboden, kan vervolgens een pacemaker van iemand anders bedienen. De kwetsbare pacemakers zouden wereldwijd door honderdduizenden mensen worden gedragen.

Naast het openbaren van de problemen kan MedSec ook aan de beveiligingslekken verdienen. Muddy Waters is namelijk "short" gegaan op de aandelen van St Jude Medical. Als de koers naar aanleiding van het onderzoeksrapport daalt zal het investeringsfonds hiervan profiteren en de winst vervolgens met het beveiligingsbedrijf delen.

Reacties (8)
26-08-2016, 20:14 door Anoniem
Goeie naam voor dat bedrijf "Muddy Waters"... Echt weer "geld vóór al het andere..."
26-08-2016, 20:36 door Anoniem
Lijkt mij een vorm van handelen met voorkennis.
26-08-2016, 23:23 door Anoniem
E-een pacemaker v-verbonden met i-internet?
Green woorden...
27-08-2016, 16:39 door Anoniem
Eindelijk rechtvaardigheid voor Barnaby Jack.
27-08-2016, 19:01 door Anoniem
Pure onzin. Een pacemaker kan niet remote worden ingesteld, dit is een unidirectionele datastroom vanuit de pacemaker naar de ontvangstbron, nooit andersom. indien een pacemaker moet worden ingesteld gebeurt dit in de kliniek via een coil,NOOIT via een remote verbinding. Geldklopperij van deze organisaties ( Muddi Waters...de naam alleen al)
29-08-2016, 13:34 door Anoniem
Ik heb dan gelukkig geen pacemaker, maar weet zeker dat er personen zijn die mijn hartslag kunnen verhogen.
29-08-2016, 17:28 door Anoniem
Door Anoniem: Pure onzin. Een pacemaker kan niet remote worden ingesteld, dit is een unidirectionele datastroom vanuit de pacemaker naar de ontvangstbron, nooit andersom. indien een pacemaker moet worden ingesteld gebeurt dit in de kliniek via een coil,NOOIT via een remote verbinding. Geldklopperij van deze organisaties ( Muddi Waters...de naam alleen al)

Ik raad je aan deze wetenschappelijke studie (http://www.secure-medicine.org/public/publications/icd-study.pdf) eens te lezen, dan zul je zien dat er wel degelijk bi-directioneel verkeer plaats vindt.
01-09-2016, 17:29 door Anoniem
Gerelateerd: de 32C3-talk "Unpatchable": https://media.ccc.de/v/32c3-7273-unpatchable
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.