קוצב לב קוצב לב יכול להרוג באמצעות מחשב נייד

קוצבי לב של כמה יצרנים יכולים להיות מצווים לספק זעזוע קטלני, 830 וולט ממישהו על מחשב נייד עד 50 מטר משם, התוצאה של תכנות תוכנה על ידי חברות ציוד רפואי.

המחקר החדש מגיע Barnaby ג'ק של ספק אבטחה IOActive, הידוע בניתוח שלו של ציוד רפואי אחר כגון מכשירי אספקת אינסולין.

ג 'ק, אשר דיבר על אבטחה Breakpoint בכנס שנערך במלבורן ביום רביעי, אמר כי הליקוי נמצא בתכנות של המשדרים האלחוטיים המשמשים למתן הוראות לקוצבי לב ול- cardioverter-דפיברילטורים (ICD), המזהים התכווצויות לב לא סדירות ומספקים הלם חשמלי כדי למנוע התקף לב. [

] [לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב של Windows]

התקפה מוצלחת באמצעות הפגם "יכול בהחלט לגרום להרוגים", אמר ג'ק, אשר הודיעה ליצרנים של הבעיה, אך לא זיהה את החברות באופן פומבי.

בהפגנת וידאו, ג'ק הראה כיצד הוא יכול לגרום לקוצב לב פתאום לגרום להלם של 830 וולט, אשר ניתן לשמוע בפופ קולני. הסיכון האלחוטי

כ -4.6 מיליון קוצבי לב ו- ICD נמכרו בין השנים 2006 ל -2011 בארה"ב בלבד, אמר ג'ק. בעבר, קוצבי לב ו ICDs היו מתוכנתים על ידי צוות רפואי באמצעות שרביט כי היה צריך לעבור בתוך כמה מטרים של המטופל שיש לו אחד המכשירים מותקן. שרביט הטלות מתג תוכנה שיאפשר לו לקבל הוראות חדשות.

Barnaby Jack

אבל המגמה היא עכשיו ללכת אלחוטית. כמה יצרנים רפואיים מוכרים כעת משדרי המיטה שמחליפים את השרביט ויש להם טווח אלחוטי של עד 30 עד 50 רגל. ב -2006, רשות המזון והתרופות האמריקאית אישרה את כל התקני ההשתלה המבוססים על תדר רדיו הפועלים בטווח של 400 מגה-הרץ, כך אמר ג'ק. "עם טווח שידור רחב זה, ההתקפות מרחוק על התוכנה הופכות ליותר ריאלי. כאשר למד את המשדרים, ג 'ק מצא את המכשירים יוותרו המספר הסידורי שלהם ואת מספר הדגם לאחר שהוא יצר קשר אלחוטי אחד עם פקודה מיוחדת. עם מספרים סידוריים ומודלים, ג'ק יכול לתכנת מחדש את הקושחה של המשדר, אשר היה לאפשר תכנות מחדש של קוצב לב או של ICD בגוף של אדם.

"זה לא קשה לראות מדוע זה תכונה קטלנית," אמר ג 'ק. המחקר שלו רק מתחיל. ה- FDA, הוא אמר, רק מסתכל על היעילות הרפואית של מכשירים ואינו מבצע ביקורת על קוד המכשיר. "המטרה שלי היא להעלות את המודעות להתקפות זדוניות פוטנציאליות אלו ולעודד יצרנים לפעול לבדיקת האבטחה של את הקוד שלהם ולא רק את מנגנוני הבטיחות המסורתיים של המכשירים האלה ", אמר ג'ק.

נתונים חשופים, גם

הוא גם מצא בעיות אחרות עם המכשירים, כגון העובדה שהם מכילים לעתים קרובות נתונים אישיים על חולים, כגון את שמו ואת הרופא שלהם. כמו כן נמצאו סימנים אחרים של קוד מרושל, כגון גישה פוטנציאלית לשרתים מרוחקים המשמשים לפיתוח התוכנה. "היישום החדש פגום בכל כך הרבה דרכים", אמר ג'ק. "זה באמת צריך להיות reworked."

ג 'ק הוא פיתוח "חשמלית מרגיש", יישום עם ממשק המשתמש הגרפי שיאפשר למשתמש לסרוק עבור מכשיר רפואי בטווח. רשימה תופיע, ומשתמש יכול לבחור התקן, כגון קוצב לב, ואז ניתן לכבות אותו או להגדיר אותו כדי לגרום לזעזוע.

קוצב קוצב סטנדרטי

כאילו זה לא מספיק גרוע, ג'ק אמר כי ניתן להעלות קושחה בעלת מבנה מיוחד לשרתים של החברה, אשר תדביק קוצבי לב מרובים ו- ICD, המתפשטים במערכות שלהם כמו וירוס אמיתי."אנחנו מתבוננים בתולעת עם היכולת לבצע רצח המוני", אמר ג'ק. "זה קצת מפחיד". למרבה האירוניה, הן השתלים והן המשדרים האלחוטיים מסוגלים להשתמש בהצפנת AES (הצפנה מתקדמת), אך היא אינה מופעלת, אמר ג'ק. התקנים יש גם "backdoors", או דרכים מתכנתים יכולים לקבל גישה אליהם ללא אימות סטנדרטי באמצעות מספר סידורי ודגם.

יש צורך רפואי לגיטימי מאז ללא backdoors, ייתכן שיהיה עליך "לחתוך מישהו פתוח," ג'ק אמר. "אבל אם יהיו להם דלת אחורית, לפחות יש להם את זה עמוק בתוך ליבת ה- ICD, אלה מכשירים יקרים. "

המצגת של ג'ק הופיעה בצורה יפה בספר קומיקס כמו אופנה. בשלב מסוים, הראה שקף אדם שנראה דומה למדי לסגן הנשיא לשעבר, דיק צ'ייני, שסבל מזה זמן רב מבעיות לב. את הפגמים במתקן, אומר ג'ק, יכול להיות שהתוקף יכול לבצע "רצח אנונימי למדי", במרחק של כ -50 מטרים. "בשבילי, מחשב נייד לא נראה כמו מכשיר שמסוגל להרוג מישהו". ג 'ק אמר.

או כחבר הקהל הוסיף: "אין הבזק פלאש עם מחשב נייד."

שלח חדשות טיפים והערות ל [email protected]. עקוב אחרי לצפצף על: @ jeremy_kirk