چندی پیش، هشداری جدی مبنی بر آسیبپذیر بودن ایمپلنت الکتروشوک قلبی شرکت مدترانیک (Medtronic’s Implantable Defibrillators) منتشر شد.
الکتروشوک قلبی، دستگاه کوچکی است که با جراحی در سینه بیمار گذاشته میشود تا با شوک الکتریکی، نارساییهای قلبی را جبران کند. در حالی که این دستگاه برای جلوگیری از مرگ ناگهانی طراحی شده است، برای چندین دستگاه ایمپلنت الکتروشوک یکی از بزرگترین شرکتهای پزشکی جهان، به نام مدترانیک، دو آسیب پذیری جدی کشف شده است.
محققان شرکت امنيتی Clever Security گزارش دادند، بهره برداری موفق از این آسیبپذیری به مهاجم اجازه دسترسی و دخالت در عملکرد میدهد (اجازه تولید ، تغییر، یا از بین بردن فرکانس رادیویی (RF) سیستم اختصاصی Medtronic Conexus telemetry ، که به طور بالقوه اثر محصول را تحت تاثیر قرار می دهد و / یا اجازه دسترسی به داده های حساس منتقل می شود را می دهد).
این آسیب پذیری ها در پروتکل Conexus Radio Frequency Telemetry قرار دارد سیستم ارتباطی بی سیم توسط برخی از ایمپلنت الکتروشوک شرکت استفاده می شود و واحد های کنترل خود را به صورت بی سیم به ایمپلنتهای داخل بدن متصل می شوند. توضیحات بیشتر در دو بخش زیر آمده است:
نقص 1: فقدان مکانیزم احراز هویت
براساس گزارش منتشر شده، این آسیب در بیش از 20 محصول شرکت وجود دارد، که 16 مورد آن از defibrillators قابل برنامه ریزی است و بقیه مانیتور و برنامه نویسی بسترهای نرم افزاری برای defibrillators هستند.
مهمترین نقص، CVE-2019-6538، از پروتکل Conexus Radio Frequency Telemetry ناشی میشود که به مهاجم اجازه میدهد بدون احراز هویت و اعتبار سنجی پیام به دستگاه دسترسی پیدا کند.
نقص 2: فقدان رمزگذاری
پروتکل Conexus Radio Frequency Telemetry از رمزگذاری استفاده نمیکند. شناسهی CVE-2019-6540 مربوط به این آسیب است.
شرکت تولید کننده در اطلاعیهای اعلام کرده است که تلاش خود را برای برطرف کردن آسیبپذیریها انجام میدهد و تا کنون گزارشی در این مورد از بیماران دریافت نشده است و با توجه به شرایط استفاده، امکان خطر پایین است. برد کم امواج رادیویی بکار گرفته شده و محیط استفادهی محدود (محدود به بخشهای ویژهی بیمارستانی) از جمله مواردی بوده که در این بخش اعلام شده است.
Medtronic’s Implantable Defibrillators Vulnerable to Life-Threatening Hacks