Twee onderzoekers hebben malware ontwikkeld waarmee het mogelijk is om op afstand levensgevaarlijke schokken bij patiënten toe te dienen. Billy Rios van securitybedrijf Whitescope en Jonathan Butts van QED Secure Solutions demonstreerden hun hack tijdens de Black Hat-conferentie in Las Vegas.

In het verleden hebben onderzoekers vaker aanvallen tegen pacemakers gedemonstreerd, waarbij de draadloze communicatie tussen het apparaat en een controlestation werd opgevangen en gemanipuleerd. Rios en Butts hebben echter een manier gevonden om de pacemaker-programmer met malware te infecteren. Het gaat om de CareLink 2090 programmer van fabrikant Medtronic. Dit is een apparaat dat artsen gebruiken om de pacemaker te controleren en bij te stellen nadat die bij een patiënt is ingebracht.

De updates voor het apparaat worden niet via een https-verbinding aangeboden. Daarnaast zijn de updates niet digitaal gesigneerd. Zodoende lukte het de onderzoekers om de CareLink met kwaadaardige firmware te infecteren. Deze firmware zou volgens de onderzoekers levensgevaarlijke veranderingen aan de therapie kunnen doorvoeren, zoals het verhogen van het aantal schokken dat de patiënt ontvangt of geen schokken toedienen aan patiënten de ze juist nodig hebben.

Volgens de onderzoekers reageerde Medtronic slecht op de melding over de kwetsbaarheden. Zo zou het bedrijf 10 maanden nodig hebben gehad om de melding te controleren en besloot vervolgens geen maatregelen te nemen om het netwerk te beveiligen. "Als je de code signeert zijn al deze problemen opgelost, maar voor de één of andere redenen weigeren ze dat te doen", aldus Rios tegenover Wired. Medtronic stelt in een reactie dat het de kwetsbaarheid in de cloudinfrastructuur heeft verholpen waardoor de pacemakerdata op afstand was te benaderen en aan te passen.