2018 Gevaarlijk lek in pacemakers laat aanvaller instellingen wijzigen
2020 Pacemaker traceert aanvaller en genereert DDoS attack

Ik neem aan dat je dit toch alleen vanag zeg 10 cm afstand kan doen dmv bv. een arts ipv via het internet ... Want anders zou je dat bedrijf toch in zijn geheel een gevangenisstraf geven .... .

Het laatste wat je dus ziet als je dood gaat is een Blue Screen of Death vanwege deze bug? :D

Ziet er niet echt os specifiek uit: https://abbottlinkuser.abbott.com/help/en/Axeda_DRM_Script_Development.pdf Beeld is wat anders: https://sg.tudelft.nl/event/de-bijna-doodervaring/ Je ziet er vaak wolken ofwel cloud bij.
Waarom moet een pacemaker eigenlijk in de cloud en continu verbonden zijn?

Waarom denkt karma4 dat deze pacemakers met cloud verbonden zijn? En waarom denkt karma4 dat deze continu met de cloud verbonden zijn? Leest karma4 wel waarover het gaat?

"RF enabled devices" zegt iets over mogelijke communicatie methode, en die bleek unauthenticated (of te zwak authenticated) te zijn.

Het is onzinnig om te denken dat dit IoT devices zijn, dat zijn het niet.

Ik ben het hierin met karma4 eens: niemand zal zo gek zijn om Windows in een pacemaker te gebruiken. Alleen al voor de schadeclaims bij die BSoD ;-)


Nee karma4, nu ontspoor je weer totaal off-topic.


Wel snel hulp ter plaatse bij door de pacemaker vastgestelde problemen. Want natuurlijk zit er ook positiebepaling in zo'n ding, zodat men meteen weet waar het probleem plaatsvindt en hulp kan sturen.

Zo zie je maar dat zelfs het enige device ter wereld waarvan ALLE examplaren geairgapped zijn, nog niet veilig is. Airgapping kan dus in de prulle(n)bak.

Airgapped is als je een apparaat niet koppelt via een bedraad netwerk. Om data over te zetten moet je dan met USB drives oid gaan lopen. Met draadloze communicatie (Wi-Fi, RFID, enz) is het sowieso geen sprake van airgapped.

karma4 heeft gelijk, waarom?

Ik zou ook oppassen bij detectiepoortjes.

De firmware is ook niet al te solide, dat weten we ook al vanaf 4 mei j.l.:
https://community.spiceworks.com/topic/2132794-iot-danger-465k-pacemakers-have-potentially-fatal-firmware-flaw

Samen met de verkeerde iOT stappenteller bijvoorbeeld kan het met jou en je pacemaker slecht aflopen.

luntrus

Uit de PDF met de link in het redactieartikel. Gewoon wat beter leze wat er staat.
"We recommend that you continue to use your Merlin@home™ device, as it allows your physician to more frequently receive, assess, and monitor your device’s function."
Als het apparaat niet te veranderen zou zijn zonder zo'n aparte procedure dan zou er toch geen noodzaak zijn. risico nihil.
Met answer 9 staat er apart dat het RF deel uitgeschakeld kan worden om risico van cyberhack uit te sluiten.

Stukje verder:
"It’s important to note that when RF communication is permanently disabled in the device, you can no longer be monitored remotely using an RF Merlin@home™ transmitter. Remote monitoring can be an important part of your care, as it allows your doctor to more frequently receive, assess, and monitor your device’s function."

Staat er toch dat pacemaker een IOT ding is via dat merlin@home.
https://www.stin.nl/over-de-icd/technische-informatie/st-jude-medical-merlinnet-patient-care-network-of-patientenzorg-vanuit-huis-juli-2009.htm

Het verhaal van de FDA is nog niet als link hier. https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm604706.htm
Het gaat om twee issue, deze zijn aangepast en na een jaar doorloop nu goedgekeurd.
"addresses two separate issues:
1) a device-based Battery Performance Alert
2) updates to address cybersecurity vulnerabilities across Abbott's radio frequency (RF) enabled ICDs and CRT-Ds.
...
if exploited, could allow an unauthorized user (i.e.someone other than the patient's physician) to access a patient's device using commercially available equipment. This unauthorized user could then modify programming commands to the implanted defibrillator, which could result in patient harm from rapid battery depletion (unrelated to lithium clusters), or administration of inappropriate pacing or shocks. "

Nee, karma4, dat betekent niet dat de pacemaker *zelf* verbonden is, maar dat het appje verbonden is. Dat is iets heel anders. De kwetsbaarheid zit in de RF communicatie.

Dus toch heel veel beter lezen karma4.


En nog steeds is het de RF communicatie zelf die niet voldoende sterk beveiligd is, daar zit de zwakheid. De rest is relatieve bijzaak. Het gaat expliciet *niet* over het appje, wat jij wel suggereerde. Gek genoeg denk je, ondanks dat je nu goed citeert, nog steeds dat het probleem ergens anders zit.

Lees nog eens goed zou ik zeggen.
De fda heeft het er over dat de instellingen op de pacemaker veranderd kunnen worden.
De fda heeft er over dat dit in de aansturing tussen dat kastje en de pacemaker zit.
Ze, de fda, noemt dat de aanval tussen deze twee delen met vrij verkrijgbare commerciële hardware en code mogelijk is.

Ik las elders dat de Keys (userid passwords) voor dat deel standaard waarden bevatten dan wel ongecontroleerd verwerkt worden. Dat is iets wat beide endpoints goed zouden moeten doen en "appje" en pacemaker. Het is allemaal software code met configuratie. Iets afdoen als appje of rf deel zegt niets.

Nee, dat staat er niet! De tekst uit jouw eigen link maakt duidelijk dat de Merlin@home zender aan internet hangt, niet de pacemaker zelf. De Merlin@home zender is dus een IoT-apparaat, niet de pacemaker zelf! Bovendien wordt de pacemaker alleen uitgelezen.