A Medtronic nevű cég által gyártott szívritmus-szabályozók sebezhetőségét mutatta be két biztonsági kutató a Las Vegas-i Black Hat hekkerkonferencián – írja az Ars Technica.
A kutatók nem is magát a pacemakert, hanem az orvosok által a már behelyezett pacemaker beállítására szolgáló eszközt tudták meghekkelni. A sebezhetőség abból fakad, hogy a cég nem titkosított csatornán telepíti az eszközök rendszerfrissítéseit, így ezeken keresztül a hekkerek távolról juttathatnak az eszközökre kártevő kódot. Ezután pedig már könnyen életveszélyes változtatásokat hajthatnak végre, például emelhetik a páciens szívének leadott elektromos impulzusok számát.
Billy Rios (WhiteScope) és Jonathan Butts (QED Secure Solutions), a sebezhetőséget felfedező és bemutató kutatók azt mondták, először 2017 januárjában értesítették a Medtronicot a sebezhetőségről, de a módszerük a mai napig működik, vagyis a gyártó másfél év alatt se foltozta be a biztonsági rést. A cég közleménye szerint a hiba nem jelent nagy kockázatot, hiszen az eszköz leírásában is benne van, hogy csak biztonságos hálózaton célszerű használni.
Rios és Butts felfedezett egy másik pacemakereket illető sebezhetőséget is, de mivel ehhez a cég rendszereit kellett volna kompromittálniuk, ezt nem próbálták ki; illetve a Medtronic egy inzulinpumpáját is sikerült meghekkelniük, de a cég szerint ez a módszer csak régebbi modellekkel működik.
A pacemakerek sebezhetősége egyébként nem újdonság, egy éve például félmillió készüléket hívtak vissza az Egyesült Államokban biztonsági kockázat miatt.