Дуэт хакеров успешно взломал искусственный водитель сердечного ритма от компании Medtronic. Несложная уязвимость позволяет дистанционно остановить сердце владельца кардиостимулятора, в то время как компания-производитель не спешит реагировать на угрозу и устранять недочёты, о чём пишет Ars Technica.
Исследователи систем безопасности Билли Райос и Джонатан Батс раскрыли подробности об уязвимости на своём выступлении на конференции Black Hat, посвящённой информационной безопасности. Хакеры уведомили Medtronic о своей находке ещё в январе 2017 года, но компания так и не предприняла должных усилий по ликвидации недочёта. Тогда хакеры решили привлечь внимание общественности к проблеме взлома кардиостимуляторов.
Исследователи продемонстрировали публике процесс взлома программатора CareLink 2090, который используется врачами для диагностики, настройки и обновления программного обеспечения электрокардиостимуляторов. Программатор, который фактически является специальной версией ноутбука, работает под управлением устаревшей операционной системы Windows XP с набором программного и аппаратного обеспечения самой Medtronic. Атаковать систему безопасности успешно удалось по той причине, что компания не внедрила цифровые подписи в своё программное обеспечение — программатор мог выполнять произвольный код никак не проверяя авторство программы.
Более того, обновления программного обеспечения, которые загружались с серверов Medtronic, доставлялись не по зашифрованному соединению HTTPS, а по HTTP. Каналы HTTP легко подвергаются перенаправлению, когда атакующий внедряется по пути следования соединения, например, на уровне роутера в локальной сети. Обновления по сети получали два программатора: CareLink 2090 и CareLink Encore 29901, всего таких устройств по всему миру, включая страны СНГ, насчитывается свыше 34 тысяч штук.
Компания Medtronic отреагировала на публикацию метода взлома отключением серверов с обновлениями и рекомендацией обновлять ПО программаторов только в присутствии специалиста компании с использованием подключения по разъёму USB. Исследователи настаивают, что этого недостаточно и Medtronic должна, как минимум, ввести практику проверки цифровых подписей программного обеспечения.