Охранная фирма Clever Security обнаружила серьезную и потенциально крайне опасную уязвимость в имплантах-дефибрилляторах производства Medtronic. Она затрагивает 16 моделей, суммарным числом около 750 000 экземпляров, уже установленных разным пациентам. Хакеры могут подключиться к таким имплантам и нарушить их работу, но компания-производитель отрицает опасность для жизни пациентов.
Дефибрилляторы от Medtronic располагаются под кожей человека в области сердца, и при его сбоях могут создавать электрический импульс для нормализации работы органа. Для настройки устройств и скачивания с них данных о состоянии здоровья пациента используется беспроводное подключение. Здесь применен протокол радиочастотной телеметрии Conexus и, как оказалось, разработчики позабыли добавить к нему механизм аутентификации пользователей.
Это значит, что при наличии необходимого оборудования можно запросто подключиться к импланту и получить доступ к конфиденциальным данным. А также, в теории, вызвать сбой в работе устройства. Однако в Medtronic указывают на два нюанса. Во-первых, нужно приблизиться к носителю дефибриллятора на расстояние менее 7 м, чтобы установить связь. Во-вторых, система блокирует соединение при получении нестандартных запросов.
По мнению специалистов, умный хакер все же сможет устроить атаку и создать риск для здоровья или даже жизни носителя импланта. Но для этого требуется соблюсти ряд условий, что не так-то просто. В Medtronic обещают выпустить патч, который закроет уязвимость, до конца текущего года. Отзывать изделия и вынимать их из тел пациентов не планируется.
Устройство для чтения данных с импланта