05:40
Дослідники інформаційної безпеки знайшли спосіб зламати прошивку кардіостимуляторів фірми Medtronic. Вони дозволяють зловмисникам дистанційно керувати имплантами, наражаючи на небезпеку життя їх власників, повідомляє ArsTechnica.
Про проблему розповіли експерти Біллі Райос і Джонатан Баттс. За словами фахівців, вони вперше повідомили Medtronic про проблеми ще в січні 2017 року, проте тоді компанія не вжила заходів для усунення вразливості. На конференції Black Hat в Лас-Вегасі Райос і Баттс продемонстрували можливість злому в реальному часі.
Уразливість полягає в тому, що прошивка не захищена цифровим підписом. При цьому поновлення для програмістів медичних апаратів передаються по незахищених каналах. Це дозволяє впроваджувати шкідливу прошивку, здатну управляти кількістю ударів серця пацієнта через стимулятор.
Крім цього, Райотс і Баттс продемонстрували кілька інших вразливостей в продуктах фірми Medtronic. Наприклад, вони зуміли за допомогою дешевого радіопередавача управляти пристроєм для інсулінових ін'єкцій, утримуючи його від видачі пацієнту необхідної дози ліків.
Компанія Medtronic випустила рекомендації з безпеки для своїх клієнтів, де заявила, що існуючі системи контролю здатні впоратися з даними проблемами. Однак хакери розкритикували фірму за нерозторопність у вирішенні цих питань. На їхню думку, імплантовані пристрої дійсно гарні, проте дії деяких виробників не викликають довіри.