Η εταιρεία Medtronic,ο μεγαλύτερος κατασκευαστής ιατρικών συσκευών στον κόσμο, παραδέχτηκε ότι πολλά από τα εμφυτεύματα καρδιακών απινιδωτών της είναι δυνητικά ευάλωτα σε hackers, καθώς χρησιμοποιούν μη κρυπτογραφημένο wireless protocol.
Η ευπάθεια επηρεάζει περισσότερα από 20 μοντέλα απινιδωτών, οθόνες και μονάδες προγραμματισμού της Medtronic Inc. Μεταξύ αυτών είναι εμφυτεύματα cardioverter ή ICD, τα οποία μπορούν να διορθώσουν επικίνδυνα γρήγορο ή ακανόνιστο καρδιακό παλμό και απινιδωτές θεραπείας καρδιακού επανασυγχρονισμού ή CRT-D.
Το Cybersecurity and Infrastructure Security Agency, τμήμα του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ, βαθμολόγησε το ελάττωμα με 9,3, καθώς όπως δήλωσε θα μπορούσε να επιτρέψει σε έναν hacker με “χαμηλό επίπεδο δεξιοτήτων” να αποκτήσει πρόσβαση στις ρυθμίσεις των συσκευών και ενδεχομένως να τις αλλάξει.
Ωστόσο, τόσο η Medtronic όσο και η αμερικανική Υπηρεσία Τροφίμων και Φαρμάκων (FDA), συμβούλευσαν τους γιατρούς και τους ασθενείς να συνεχίσουν να χρησιμοποιούν τις συσκευές, μέχρι να κυκλοφορήσει μία επιδιόρθωση. Αυτό οφείλεται στο γεγονός ότι η θεραπευτική αξία του απινιδωτή, υπερτερεί κατά πολύ του δυνητικού κινδύνου, προσθέτοντας ότι κανείς έως τώρα δεν έχει εκμεταλλευτεί επιτυχώς το ελάττωμα.
Το σύστημα χρησιμοποιεί ένα ιδιόκτητο ασύρματο πρωτόκολλο που ονομάζεται Conexus, το οποίο συνδέει τους απινιδωτές με οικιακές οθόνες και με τους γιατρούς και τους προγραμματιστές συσκευών.
Η Homeland Security δήλωσε ότι οι ερευνητές ασφάλειας που αποκάλυψαν την ευπάθεια διαπίστωσαν ότι το Conexus μεταδίδει δεδομένα τόσο χωρίς κρυπτογράφηση όσο και χωρίς έλεγχο ταυτότητας, πράγμα που σημαίνει ότι δεν μπορεί να διασφαλίσει ότι τα παράνομα συστήματα αποκλείονται από τον έλεγχο των απινιδωτών.
Αλλά η υπηρεσία συμφώνησε ότι η πιθανότητα μιας επιτυχημένης επίθεσης ήταν χαμηλή, όχι επειδή θα ήταν ιδιαίτερα δύσκολο από τεχνικής πλευράς, αλλά επειδή οι συσκευές χρησιμοποιούν εκπομπές ραδιοσυχνοτήτων – όπως και μερικά τηλεχειριστήρια τηλεόρασης – και επομένως μεταδίδουν σήμα σε απόσταση 20 ποδιών. Αυτό σημαίνει ότι οποιοσδήποτε επιτιθέμενος θα έπρεπε στην ουσία να βρίσκεται στο ίδιο δωμάτιο με τη συσκευή.
Ενώ η Medtronic αναπτύσσει μια επιδιόρθωση, η FDA είπε ότι οι ασθενείς και οι γιατροί μπορούν να προστατευθούν, φροντίζοντας να χρησιμοποιούν μόνο οθόνες που έχουν πάρει απευθείας από την ίδια τη Medtronic. Οι ασθενείς θα πρέπει να διατηρούν τον εξοπλισμό τους συνδεδεμένο ανά πάσα στιγμή, ώστε να μπορούν να λαμβάνουν ενημερώσεις, δήλωσε η FDA.
Η Medtronic, η οποία δήλωσε ότι θα κυκλοφορήσει μια επιδιόρθωση μόλις είναι διαθέσιμη και έχει εγκριθεί από τις ρυθμιστικές αρχές, ανέφερε τα ευάλωτα συστήματα:
Amplia MRI CRT-D, all models
Claria MRI CRT-D, all models
Compia MRI CRT-D, all models
Concerto CRT-D, all models
Concerto II CRT-D, all models
Consulta CRT-D, all models
Evera MRI ICD, all models
Evera ICD, all models
Maximo II CRT-D and ICD, all models
Mirro MRI ICD, all models
Nayamed ND ICD, all models
Primo MRI ICD, all models
Protecta CRT-D and ICD, all models
Secura ICD, all models
Virtuoso ICD, all models
Virtuoso II ICD, all models
Visia AF MRI ICD, all models
Visia AF ICD, all models
Viva CRT-D, all models
CareLink 2090 Programmer
MyCareLink Monitor, models 24950 and 24952
CareLink Monitor, Model 2490C
