آسیب‌پذیری ایمپلنت الکتروشوک قلبی

Medtronic's Implantable Defibrillators Vulnerable

چندی پیش، هشداری جدی مبنی بر آسیب‌پذیر بودن ایمپلنت الکتروشوک قلبی شرکت مدترانیک (Medtronic’s Implantable Defibrillators) منتشر شد.

الکتروشوک قلبی، دستگاه کوچکی است که با جراحی در سینه بیمار گذاشته می‌شود تا با شوک الکتریکی، نارسایی‌های قلبی را جبران کند. در حالی که این دستگاه برای جلوگیری از مرگ ناگهانی طراحی شده است، برای چندین دستگاه ایمپلنت الکتروشوک یکی از بزرگترین شرکت‌های پزشکی جهان، به نام مدترانیک، دو آسیب پذیری جدی کشف شده است.

محققان شرکت امنيتی Clever Security گزارش دادند، بهره برداری موفق از این آسیب‌پذیری به مهاجم اجازه دسترسی و دخالت در عملکرد می‌دهد (اجازه تولید ، تغییر، یا از بین بردن فرکانس رادیویی (RF) سیستم اختصاصی Medtronic Conexus telemetry   ، که به طور بالقوه اثر محصول را تحت تاثیر قرار می دهد و / یا اجازه دسترسی به داده های حساس منتقل می شود را می دهد).

این آسیب پذیری ها در پروتکل Conexus Radio Frequency Telemetry  قرار دارد سیستم ارتباطی بی سیم توسط برخی از ایمپلنت الکتروشوک شرکت استفاده می شود و واحد های کنترل خود را به صورت بی سیم به ایمپلنت‌های داخل بدن متصل می شوند. توضیحات بیشتر در دو بخش زیر آمده است:

نقص 1: فقدان مکانیزم احراز هویت

براساس گزارش منتشر شده، این آسیب در بیش از 20 محصول شرکت وجود دارد، که 16 مورد آن از defibrillators قابل برنامه ریزی است و بقیه مانیتور و برنامه نویسی بسترهای نرم افزاری برای defibrillators هستند.

مهمترین نقص، CVE-2019-6538، از پروتکل Conexus Radio Frequency Telemetry ناشی می‌شود که به مهاجم اجازه می‌دهد بدون احراز هویت و اعتبار سنجی پیام به دستگاه دسترسی پیدا کند.

نقص 2: فقدان رمزگذاری

پروتکل Conexus Radio Frequency Telemetry از رمزگذاری استفاده نمی‌کند. شناسه‌ی CVE-2019-6540 مربوط به این آسیب است.

شرکت تولید کننده در اطلاعیه‌ای اعلام کرده است که تلاش خود را برای برطرف کردن آسیب‌پذیری‌ها انجام می‌دهد و تا کنون گزارشی در این مورد از بیماران دریافت نشده است و با توجه به شرایط استفاده، امکان خطر پایین است. برد کم امواج رادیویی بکار گرفته شده و محیط استفاده‌ی محدود (محدود به بخش‌های ویژه‌ی بیمارستانی) از جمله مواردی بوده که در این بخش اعلام شده است.

Medtronic’s Implantable Defibrillators Vulnerable to Life-Threatening Hacks