Разработчики полгода чинили «дыру», позволяющую дистанционно отключать кардиостимуляторы

- КиТ :: Будь в СЕТИ!

Корпорация St. Jude Medical, производитель кардиостимуляторов и кардиовертеров-дефибрилляторов, выпустила программное обновление для своей системы Merlin@home - радиопередатчика, который используется для постоянного мониторинга состояния сердечных имплантатов. В августе 2016 г. стало известно, что Merlin@home содержит критические уязвимости, которые позволяют производить кибератаки прямо на кардиостимуляторы и кардиовертеры-дефибрилляторы, подвергая физической угрозе жизнь и здоровье пациентов, вынужденных носить подобные устройства.

Сведения об этой уязвимости опубликовала инвестиционная фирма Muddy Waters при участии медицинских специалистов из компании MedSec. Авторы публикации утверждали, что Merlin@home лишен даже самых базовых средств защиты, и «может эксплуатироваться на каждом уровне технологической цепочки кардиологических устройств St. Jude».

Исследователи утверждают, что любые устройства St. Jude Medical, которые используются вместе с Merlin@home, можно хакнуть: передатчик обменивается данными с кардиоустройствами, используя незащищенный протокол, который очень легко взломать. Экспертам MedSec удалось без труда получить администраторский (root) доступ к программным компонентам Merlin@home. При наличии рут-доступа хакеры могут заставить кардиоимплантаты работать неправильно, создавая всамделишный риск для жизни пациента, утверждают эксперты.

Отступление от традиционной практики

Эксперты MedSec утверждают, что изучали устройства St. Jude в течение 18 месяцев. Вопреки общепринятой практике, результаты исследования были представлены не руководству St. Jude, а почему-то инвестиционной фирме Muddy Waters, которая и сделала их всеобщим достоянием.

St. Jude Medical закрыла брешь в своем ПО, позволяющую проводить кибератаки на кардиостимуляторы

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg