Meghekkelhető defibrillátorok miatt adott ki riasztást az USA hadügyminisztériuma

Biztonsági rés tátong a Medtronic gyógyászati segédeszközöket gyártó cég által alkalmazott Conexus kommunikációs protokollban, figyelmeztetett csütörtökön az amerikai védelmi minisztérium. A hiba összesen nagyjából 750 000 készüléket érinthet, amelyek között defibrillátor-implantátumok is találhatók. Több mint húsz típusra adtak ki riasztást, a hackerek a monitorok és a defibrillátorok közti kommunikációt zavarhatják meg, így akár szívrohamot is előidézhetnek a betegeknél. 

A defibrillátor alaphelyzetben a szívdobogást monitorozza, ha pedig szabálytalan szívverést észlel, áramütést ad le. A készülék egy külső egységgel áll rádiós összeköttetésben, ezzel lehet finomhangolni a működését. Mivel a beavatkozáshoz a hackernek a páciens közvetlen közelében kell tartózkodnia, a veszélyt nem értékelik súlyosnak, a Medtronic pedig azonnal leállítja a készülékek kommunikációját, ha valamilyen betörés nyomára bukkan a hálózatában. A minisztérium ennek ellenére a veszélyt egy tízes skálán 9,3-asra értékelte, ami figyelembe véve azt, hogy mégsem az ember Facebook-fiókját törik fel, hanem egyenesen a szívét, nem is tűnik túlzásnak, igaz, ez az értékelés azt feltételezi, hogy egy rosszindulatú támadó már alaposan felkészült a merényletre. 

Az adatok is veszélyben vannak

A hiba a Medtronic pacemakerjeit nem érinti. Robert Kowal, a cég szívritmusszabályozó-részlegének vezetője szerint a készülékek működésébe húsz lábnyi távolságból lehet a résen keresztül beleszólni, de ebben az esetben a hackernek alaposan ismernie kell a gépek belső működését, és külön eszközökkel kellene készülnie a betörésre. 

A neten keresztül szerencsére nem lehet hozzáférni a szabályzókhoz, de a cég azt kéri, hogy a betegek és az orvosok továbbra se dugjanak pen drive-ot vagy más potenciális vírushordozót a monitorokba. A szabályozó működtetése mellett a biztonsági rés azt is jelenti, hogy a betegek orvosi adatai illetéktelen kezekbe kerülhetnek, de eddig még nem volt példa arra, hogy bárki kihasználja a hibát.

Az érintett modellek listája itt található.