Medical hack poses pacemaker risk - BBC News
Innholdsfortegnelse:
Pacemakere fra flere produsenter kan beordres å levere et dødelig, 830-volts sjokk fra noen på en bærbar datamaskin opptil 50 meter unna, resultatet
Den nye undersøkelsen kommer fra Barnaby Jack av sikkerhetsleverandøren IOActive, kjent for sin analyse av annet medisinsk utstyr som insulinleveranser.
Jack, som snakket med Breakpoint-sikkerheten konferanse i Melbourne onsdag, sier feilen ligger ved programmeringen av de trådløse senderen som brukes til å gi instruksjoner til pacemakere og implanterbare cardioverter-defibrillatorer (ICD), som oppdager uregelmessige hjertesammensetninger og leverer
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]Et vellykket angrep med feilen "kan definitivt føre til dødsfall," sa Jack, som har meldt produsentene av problemet, men offentliggjorde ikke selskapene.
I en video demonstrasjon viste Jack hvordan han kunne få en pacemaker til å plutselig levere et 830-volts sjokk, som kunne høres med en skarp hørbar pop.
Trådløs risiko
Så mange som 4,6 millioner pacemakere og ICDer ble solgt mellom 2006 og 2011 alene i USA, sa Jack. Tidligere ble pacemakere og ICDer omprogrammert av medisinsk personale ved hjelp av en tau som måtte passere innen et par meter av en pasient som har en av enhetene installert. Vegget flipper en programvarebryter som gjør det mulig å godta nye instruksjoner.
Men trenden går nå trådløst. Flere medisinske produsenter selger nå sengesensorer som erstatter staven og har et trådløst utvalg på opptil 30 til 50 fot. I 2006 godkjente USAs mat- og stoffadministrasjon fullfrekvensbaserte implanterbare enheter som opererer i 400MHz-området, sa Jack.
Med det brede transmitteringsområdet blir fjernangrep mot programvaren mer mulig, sa Jack. Ved å studere senderen fant Jack at enhetene ville gi opp sitt serienummer og modellnummer etter at han trådløst kontaktet en med en spesiell kommando.
Med serienummer og modellnumre kunne Jack deretter omprogrammere fastvaren til en sender som ville Tillat omprogrammering av en pacemaker eller ICD i en persons kropp.
"Det er ikke vanskelig å se hvorfor dette er en dødelig funksjon," sa Jack.
Hans forskning er bare begynt. FDA, sa han, bare ser på den medisinske effektiviteten til enheter og gjør ikke en revisjon av en enhetens kode.
"Mitt mål er å øke bevisstheten om disse potensielle ondsinnede angrepene og oppfordre produsenter til å handle for å se sikkerheten til deres kode og ikke bare de tradisjonelle sikkerhetsmekanismene til disse enhetene, sier Jack.
Datasårbar, også
. Han har også funnet andre problemer med enhetene, som det faktum at de ofte inneholder personopplysninger om pasienter, for eksempel deres navn og deres lege. Andre fortegnstegn om slurvet kode ble også funnet, for eksempel potensiell tilgang til eksterne servere som brukes til å utvikle programvaren.
"Den nye implementeringen er feil på så mange måter," sa Jack. "Det trenger virkelig å bli omarbeidet."
Jack utvikler "Electric Feel", en applikasjon med et grafisk brukergrensesnitt som vil tillate en bruker å skanne etter en medisinsk enhet innenfor rekkevidde. En liste vil vises, og en bruker kan velge en enhet, for eksempel en pacemaker, som deretter kan slås av eller konfigureres for å levere et sjokk.
Som om dette ikke var dårlig nok, Jack sa at det er mulig å laste opp spesialdesignet fastvare til et selskaps servere som ville infisere flere pacemakere og ICDer, spre seg gjennom deres systemer som et ekte virus.
"Vi ser potensielt på en orm med evnen til å begå massemord," sa Jack. "Det er litt skummelt."
Ironisk nok er både implantatene og de trådløse senderen i stand til å bruke AES (Advance Encryption Standard) -kryptering, men det er ikke aktivert, sa Jack. Enheten har også "bakdører", eller måter programmerere kan få tilgang til uten standardautentisering ved hjelp av serienummer og modellnummer.
Det er et legitimt medisinsk behov siden uten bakdører, det kan hende du må "kutte noen åpne" Jack sa. "Men hvis de skal ha en bakdør, har de i det minste innebygd dypt inne i ICD-kjernen. Disse er dyre enheter."
Jacks presentasjon ble vakkert illustrert i en tegneserie-lignende måte. På et tidspunkt viste et lysbilde en mann som så ganske lik den tidligere amerikanske vicepresident Dick Cheney, som lenge har hatt hjertesykdommer. Manglene i enheten, Jack sa, kan bety at en angriper kunne utføre "et ganske anonymt anklag" fra 50 fot unna.
"For meg ser en bærbar PC ikke ut som en enhet som er i stand til å drepe noen" Jack sa.
Eller som et publikum la til: "Det er ingen nesespill med en bærbar PC."
Send nyhetstips og kommentarer til [email protected]. Følg meg på Twitter: @jeremy_kirk
Kentucky kan drepe nettbasert gambling permanent
Tilstanden til Kentucky for å blokkere beboers tilgang til 141 gamblingnettsteder har gått videre til neste nivå, som en Franklin County Circuit Court-dommeren nektet torsdag for å avvise saken.
Tre grunner til at Android-drevne Netbooks kan drepe Microsoft Windows
Android er i stand til, billigere, mindre: anti-Windows. Hva er det ikke å like?
Vi har sett hvordan vi kan sette eller endre filforeninger og utvidelser i Windows via appleten Standardprogram for kontrollpanel. I Windows 10 / 8.1 / 8 kan du også konfigurere disse filforeningene via Innstillinger.
For de som kanskje ikke vet, har hver fil i Windows-operativsystemet en utvidelse i filnavnet, for eksempel ... jpg, .pdf etc. Disse utvidelser brukes til å identifisere programmet, med hvilket Windows kan åpne denne filen.