image

Onderzoekers vinden duizenden lekken in pacemakersystemen

vrijdag 26 mei 2017, 11:12 door Redactie, 5 reacties

Onderzoekers van beveiligingsbedrijf WhiteScope hebben in de systemen die worden gebruikt voor het programmeren en analyseren van pacemakers duizenden kwetsbaarheden gevonden. De "physician programmer", zoals de apparatuur wordt genoemd, kan draadloos met de pacemaker communiceren. Zodoende hoeft het apparaat niet te worden verwijderd als een arts gegevens wil uitlezen of instellingen wil aanpassen.

De physician programmers maken echter gebruik van software van derden. Het gaat dan bijvoorbeeld om softwarebibliotheken. In deze gebruikte onderdelen van derden troffen de onderzoekers meer dan 8.000 bekende kwetsbaarheden aan. Daardoor bestaat de mogelijkheid dat een aanvaller publiek bekende exploits kan gebruiken om het subsysteem te compromitteren, zo waarschuwen ze. Verder laten de fabrikanten van de physician programmers en apparatuur om de pacemaker thuis te monitoren allerlei andere steken vallen.

Zo is de firmware niet versleuteld, is het mogelijk voor een aanvaller om de usb-aansluiting te gebruiken, wordt er van hardcoded wachtwoorden gebruik gemaakt, alsmede ip-adressen, servernamen en inbelgegevens. Daarnaast is het mogelijk om de firmware op afstand te updaten maar worden de firmware-updates niet cryptografisch gecontroleerd, is er geen systeemversleuteling, worden patiëntgegevens onversleuteld opgeslagen en ontbreekt er authenticatie. Alle gevonden kwetsbaarheden zijn of zullen worden gemeld bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.

Image

Reacties (5)
26-05-2017, 12:29 door Whacko
Poeh! Ik hou m'n hart vast...
26-05-2017, 13:54 door Anoniem
Verbaasd me niks. Vanwege FDA certificering kost het ontwikkeltraject van elke release jaren en ga je niet even tussendoor een library vervangen door een nieuwere versie, omdat dan je certificering van je software subsysteem weer overnieuw mag.
26-05-2017, 18:36 door Anoniem
de ZOOOVEEELSTE klungel in medische apparaten. Ik ben opgehouden te tellen
28-05-2017, 13:46 door Anoniem
Met zo'n pacemaker maak je wel de blits want je bent zélf connected met de Internet of Things.... de toekomst vooruit ;)
29-05-2017, 11:14 door Anoniem
Zie ook deze security talk gegeven op het Chaos Communication Congress in 2015:

https://events.ccc.de/congress/2015/Fahrplan/events/7273.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.