Pacemaker vulnerabili ad attacchi informatici

Ago 29, 2016 Marco Schiaffino Gestione dati, News, Privacy, Vulnerabilità 0

I presidi medici dell’azienda St. Jude Medical avrebbero una serie di vulnerabilità che permetterebbero di provocare un malfunzionamento in pacemaker e defibrillatori.

Migliaia di pazienti cardiopatici potrebbero rischiare di perdere la vita a causa di una serie di vulnerabilità che mette a rischio il funzionamento di presidi medici come pacemaker e defibrillatori.

L’allarme arriva da una fonte insolita: si tratta di Muddy Waters Research, un’azienda che si occupa di effettuare ricerche e produrre report in ambito finanziario sulla solidità e affidabilità delle società quotate in borsa.

Il rapporto di Muddy Waters, eseguito in collaborazione con la società di sicurezza informatica MedSec, ha chiaramente l’obiettivo di affossare economicamente la St. Jude Medical, azienda attiva nella produzione di presidi medici per pazienti cardiopatici. Il contenuto, però, lascia pochi dubbi sulla gravità del problema.

Stando a quanto riportato dai ricercatori di MedSec, i dispositivi commercializzati da St. Jude Medical non utilizzano alcun sistema di sicurezza per gestire i collegamenti con il sistema Merlin@home, usato per la gestione dei presidi in questione.

L’ecosistema prevede l’uso dei presidi medici dotati di un sistema di comunicazione radio, che gli consente di comunicare sia con i dispositivi Merlin@home, utilizzati per ricevere informazioni dai dispositivi, sia con i Programmer, usati invece per impostare il loro funzionamento.

Il problema, secondo quanto riportato da Muddy Waters Research, è che tutto il sistema non utilizza alcuna funzione di crittografia e, in teoria, qualsiasi Programmer e Merlin@home è in grado di comunicare con qualsiasi presidio medico.

Il rischio è teorico, ma sufficiente per affossare le azioni del St. Jude Medical.

Peggio ancora, i dispositivi non hanno alcun sistema di sicurezza che li protegga. Sempre stando a quanto riportato nel documento, MedSec ha impiegato meno di dieci minuti per ottenere i privilegi di root di un dispositivo Merlin@home, avendo così accesso alle informazioni riguardanti il presidio medico abbinato.

I nuovi modelli, tra l’altro, sono in grado di comunicare con i presidi medici a una distanza di 15 metri, il che rende possibile il collegamento anche senza che il paziente possa rendersi conto di quello che sta accadendo.

In pratica, quindi, chiunque sia in possesso di un dispositivo di controllo (modelli usati sono in vendita su eBay per 35 $) potrebbe ottenere informazioni riservate sulla salute di una persona e rubare i dati di accesso del suo account senza che questi se ne possa accorgere.

Ma esistono rischi seri per la vita dei pazienti? Stando al report, MedSec avrebbe sperimentato con successo due tipi di attacchi che potrebbero provocare il malfunzionamento di un pacemaker o di un defibrillatore e mettere a repentaglio di conseguenza la salute del paziente.

Il primo provocherebbe un vero e proprio crash del dispositivo, mentre il secondo porterebbe al consumo precoce delle batterie del presidio medico. Insomma: sfruttando queste tecniche qualcuno potrebbe tentare di uccidere una persona attraverso un “attacco radio” a 15 metri di distanza.

Roba da fantascienza, ma che rischia di avere un impatto reale sulla vita di migliaia di persone. Il primo impatto, però, è stato indubbiamente sulle quotazioni dell’azienda.

Condividi l'articolo

medici, ospedali, pacemaker

WiKey permette di usare il Wi-Fi per rilevare micro-movimenti a distanza… e registrare quello che si scrive sulla tastiera! Hackerati i sistemi di Opera: 1,7 milioni di account a rischio