Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
Ago 29, 2016 Marco Schiaffino Gestione dati, News, Privacy, Vulnerabilità 0
Migliaia di pazienti cardiopatici potrebbero rischiare di perdere la vita a causa di una serie di vulnerabilità che mette a rischio il funzionamento di presidi medici come pacemaker e defibrillatori.
L’allarme arriva da una fonte insolita: si tratta di Muddy Waters Research, un’azienda che si occupa di effettuare ricerche e produrre report in ambito finanziario sulla solidità e affidabilità delle società quotate in borsa.
Il rapporto di Muddy Waters, eseguito in collaborazione con la società di sicurezza informatica MedSec, ha chiaramente l’obiettivo di affossare economicamente la St. Jude Medical, azienda attiva nella produzione di presidi medici per pazienti cardiopatici. Il contenuto, però, lascia pochi dubbi sulla gravità del problema.
Stando a quanto riportato dai ricercatori di MedSec, i dispositivi commercializzati da St. Jude Medical non utilizzano alcun sistema di sicurezza per gestire i collegamenti con il sistema Merlin@home, usato per la gestione dei presidi in questione.
L’ecosistema prevede l’uso dei presidi medici dotati di un sistema di comunicazione radio, che gli consente di comunicare sia con i dispositivi Merlin@home, utilizzati per ricevere informazioni dai dispositivi, sia con i Programmer, usati invece per impostare il loro funzionamento.
Il problema, secondo quanto riportato da Muddy Waters Research, è che tutto il sistema non utilizza alcuna funzione di crittografia e, in teoria, qualsiasi Programmer e Merlin@home è in grado di comunicare con qualsiasi presidio medico.
Il rischio è teorico, ma sufficiente per affossare le azioni del St. Jude Medical.
Peggio ancora, i dispositivi non hanno alcun sistema di sicurezza che li protegga. Sempre stando a quanto riportato nel documento, MedSec ha impiegato meno di dieci minuti per ottenere i privilegi di root di un dispositivo Merlin@home, avendo così accesso alle informazioni riguardanti il presidio medico abbinato.
I nuovi modelli, tra l’altro, sono in grado di comunicare con i presidi medici a una distanza di 15 metri, il che rende possibile il collegamento anche senza che il paziente possa rendersi conto di quello che sta accadendo.
In pratica, quindi, chiunque sia in possesso di un dispositivo di controllo (modelli usati sono in vendita su eBay per 35 $) potrebbe ottenere informazioni riservate sulla salute di una persona e rubare i dati di accesso del suo account senza che questi se ne possa accorgere.
Ma esistono rischi seri per la vita dei pazienti? Stando al report, MedSec avrebbe sperimentato con successo due tipi di attacchi che potrebbero provocare il malfunzionamento di un pacemaker o di un defibrillatore e mettere a repentaglio di conseguenza la salute del paziente.
Il primo provocherebbe un vero e proprio crash del dispositivo, mentre il secondo porterebbe al consumo precoce delle batterie del presidio medico. Insomma: sfruttando queste tecniche qualcuno potrebbe tentare di uccidere una persona attraverso un “attacco radio” a 15 metri di distanza.
Roba da fantascienza, ma che rischia di avere un impatto reale sulla vita di migliaia di persone. Il primo impatto, però, è stato indubbiamente sulle quotazioni dell’azienda.
Feb 13, 2024 0
Ott 15, 2018 0
Apr 24, 2018 1
Mag 29, 2017 0
Apr 03, 2025 0
Apr 02, 2025 0
Apr 01, 2025 0
Mar 31, 2025 0
Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and Management...Mar 27, 2025 0
Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso...Mar 21, 2025 0
Il processo di penetration testing è ormai una pratica...Mar 13, 2025 0
Il bilancio delle vittime del ransomware Medusa è...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 03, 2025 0
Colt Technology Services ha annunciato di aver completato...Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and...Mar 31, 2025 0
I ricercatori di Infoblox hanno scoperto una nuova campagna...Mar 31, 2025 0
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...