vir: Wired Blog
Danes sta na konferenci pokazala, kako je mogoče v praksi napasti CareLink 2090, ki ga zdravniki uporabljajo za spremljanje in nadzor srčnih spodbujevalnikov po vsaditvi. Posodobitve za napravo se ne prenašajo prek HTTPS, prav tako firmware ni digitalno podpisan. Zaradi tega ste na spodbujevalnik z lahkoto naložila zlonameren firmware, ki je lahko spreminjal ukaze, ne da bi zdravniki to videli. To ni edina naprava, ki sta jo zlomila. Pokazala sta še, kako je mogoče napasti Medtronicovo inzulinsko črpalko, in sicer sta ji s HackRF poslala ukaz, naj ne odmeri predpisanega odmerka. Črpalka je manj ranljiva od spodbujevalnika, ker napad deluje le na starejšo verzijo, ki ima nastavljeno oddaljeno krmiljenje. Raziskovalca sta odkrila tudi ranljivost v internem omrežju Medtronica, ki se uporablja za dostavo popravkov podpornim aparatom (torej ne spodbujevalnikom, temveč raznim monitorjem ipd.). Medtronic se je odzval šele po 10 mesecih.
Medicinski pripomočki odpirajo zanimivo debato, kakšen je primeren odziv na javljene ranljivosti. V konkretnem primeru sta se vmešala tudi Oddelek za domovinsko varnost (DHS) in stroga Zvezna agencija za zdravila in hrano (FDA). Kakršnekoli spremembe v medicinskih pripomočkih so občutljiva tematika, saj jih je treba temeljito preveriti in odobriti pri FDA, četudi gre le za varnostne popravke. Tudi pomislek je, ali sploh razkriti obstoj popravljenih ranljivosti ali pa le potihoma zakrpati naprave, saj razkritje ranljivosti poveča možnost za napad na nezakrpane naprave. FDA je letos napovedala ustanovitev posebnega odbora prav za tovrstne težave.
