Исследователи информационной безопасности нашли способ взломать прошивку кардиостимуляторов фирмы Medtronic. Они позволяют злоумышленникам дистанционно управлять имплантами, подвергая опасности жизни их владельцев. Об этом сообщает ArsTechnica.
О проблеме рассказали эксперты Билли Райос (Billy Rios) и Джонатан Баттс (Jonathan Butts). Со слов специалистов, они впервые сообщили Medtronic о проблемах еще в январе 2017 года, однако тогда компания не приняла меры для устранения уязвимости. 9 августа на конференции Black Hat в Лас-Вегасе Райос и Баттс продемонстрировали возможность взлома в реальном времени.
Уязвимость состоит в том, что прошивка не защищена цифровой подписью. При этом обновления для программистов медицинских аппаратов передаются по незащищенным каналам. Это позволяет внедрять вредоносную прошивку, способную управлять количеством ударов сердца пациента через стимулятор.
Помимо этого, Райотс и Баттс продемонстрировали несколько других уязвимостей в продуктах фирмы Medtronic. К примеру, они сумели с помощью дешевого радиопередатчика управлять устройством для инсулиновых инъекций, удерживая его от выдачи пациенту необходимой дозы лекарства.
Компания Medtronic выпустила рекомендации по безопасности для своих клиентов, где заявила, что существующие системы контроля способны справиться с данными проблемами. Однако хакеры раскритиковали фирму за нерасторопность в решении этих вопросов. По их мнению, имплантированные устройства действительно хороши, однако действия некоторых производителей не вызывают доверия.