3 недели назад 22 ноября 2018 в 12:32 63683

Дуэт хакеров успешно взломал искусственный водитель сердечного ритма от компании Medtronic. Несложная уязвимость позволяет дистанционно остановить сердце владельца кардиостимулятора, в то время как компания-производитель не спешит реагировать на угрозу и устранять недочёты, о чём пишет Ars Technica.

Исследователи систем безопасности Билли Райос и Джонатан Батс раскрыли подробности об уязвимости на своём выступлении на конференции Black Hat, посвящённой информационной безопасности. Хакеры уведомили Medtronic о своей находке ещё в январе 2017 года, но компания так и не предприняла должных усилий по ликвидации недочёта. Тогда хакеры решили привлечь внимание общественности к проблеме взлома кардиостимуляторов.

Исследователи продемонстрировали публике процесс взлома программатора CareLink 2090, который используется врачами для диагностики, настройки и обновления программного обеспечения электрокардиостимуляторов. Программатор, который фактически является специальной версией ноутбука, работает под управлением устаревшей операционной системы Windows XP с набором программного и аппаратного обеспечения самой Medtronic. Атаковать систему безопасности успешно удалось по той причине, что компания не внедрила цифровые подписи в своё программное обеспечение — программатор мог выполнять произвольный код никак не проверяя авторство программы.

Более того, обновления программного обеспечения, которые загружались с серверов Medtronic, доставлялись не по зашифрованному соединению HTTPS, а по HTTP. Каналы HTTP легко подвергаются перенаправлению, когда атакующий внедряется по пути следования соединения, например, на уровне роутера в локальной сети. Обновления по сети получали два программатора: CareLink 2090 и CareLink Encore 29901, всего таких устройств по всему миру, включая страны СНГ, насчитывается свыше 34 тысяч штук.

Компания Medtronic отреагировала на публикацию метода взлома отключением серверов с обновлениями и рекомендацией обновлять ПО программаторов только в присутствии специалиста компании с использованием подключения по разъёму USB. Исследователи настаивают, что этого недостаточно и Medtronic должна, как минимум, ввести практику проверки цифровых подписей программного обеспечения.

Никто не прокомментировал материал. Есть мысли?