Onderzoekers van beveiligingsbedrijf WhiteScope hebben in de systemen die worden gebruikt voor het programmeren en analyseren van pacemakers duizenden kwetsbaarheden gevonden. De "physician programmer", zoals de apparatuur wordt genoemd, kan draadloos met de pacemaker communiceren. Zodoende hoeft het apparaat niet te worden verwijderd als een arts gegevens wil uitlezen of instellingen wil aanpassen.
De physician programmers maken echter gebruik van software van derden. Het gaat dan bijvoorbeeld om softwarebibliotheken. In deze gebruikte onderdelen van derden troffen de onderzoekers meer dan 8.000 bekende kwetsbaarheden aan. Daardoor bestaat de mogelijkheid dat een aanvaller publiek bekende exploits kan gebruiken om het subsysteem te compromitteren, zo waarschuwen ze. Verder laten de fabrikanten van de physician programmers en apparatuur om de pacemaker thuis te monitoren allerlei andere steken vallen.
Zo is de firmware niet versleuteld, is het mogelijk voor een aanvaller om de usb-aansluiting te gebruiken, wordt er van hardcoded wachtwoorden gebruik gemaakt, alsmede ip-adressen, servernamen en inbelgegevens. Daarnaast is het mogelijk om de firmware op afstand te updaten maar worden de firmware-updates niet cryptografisch gecontroleerd, is er geen systeemversleuteling, worden patiëntgegevens onversleuteld opgeslagen en ontbreekt er authenticatie. Alle gevonden kwetsbaarheden zijn of zullen worden gemeld bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.