Allarme hacking per i pacemaker. “Non fate aggiornamenti via Internet”

Ott 15, 2018 Marco Schiaffino News, RSS, Vulnerabilità 0

I dispositivi di Medtronic usati per programmare i pacemaker non verificano l’autenticità degli aggiornamenti. Un attacco in remoto potrebbe modificarne il funzionamento.

Torna lo spauracchio hacking nel settore dei dispositivi medicali e, ancora una volta, il tema è quello degli “impianti” medici, cioè i pacemaker di nuova generazione che consentono una gestione remota del software per controllarne il funzionamento.

L’allarme parte dagli USA e arriva direttamente dalla FDA, la Federal Drug Administration che negli Stai Uniti ha competenza sul settore medico-sanitario. Il report pubblicato sul sito della FDA è datato 11 ottobre e riguarda gli impianti Medtronic, tra i più diffusi nel settore della cardiologia.

Il problema non riguarda direttamente i pacemaker, ma i dispositivi utilizzati per programmarli. Si chiamano CareLink e sono usati per scaricare i dati sul funzionamento degli impianti, verificare il livello di carica delle batterie e programmarne il funzionamento.

Come si legge in un bollettino di sicurezza diffuso dalla stessa Medtronic, i due modelli più diffusi (CareLink 2090 e CareLink Encore 29901) hanno una falla di sicurezza che aprirebbe la strada a una loro compromissione in remoto da parte di un pirata informatico.

Nel dettaglio, i programmer CareLink utilizzano un sistema di aggiornamento che si appoggia a una piattaforma chiamata Software Deployment Network (SDN) e che sfrutta un collegamento protetto attraverso VPN per scaricare gli update del software Medtronic.

Il sistema, però, non esegue una verifica per controllare se il collegamento alla VPN è attivo al momento del download degli aggiornamenti. Insomma: il rischio è che un pirata informatico possa portare un attacco remoto e sostituire il firmware del programmer, modificando di conseguenza il comportamento del dispositivo nel momento in cui interagisce con i pacemaker.

Dalle parti di Medtronic specificano che non c’è stato alcun indizio di tentativi di sfruttare la vulnerabilità e che l’avviso ha carattere preventivo. L’azienda, però, ha disattivato il sistema SDN in via precauzionale.

Non è la prima volta che il settore medico viene interessato da allarmi del genere. In passato la stessa FDA si è interessata di un controverso caso legato ai dispositivi della St. Jude Medical e più recentemente allarmi simili hanno coinvolto un modello di microinfusore per diabetici.

Il problema, però, resta. Come qualsiasi esperto di sicurezza può confermare, la presenza di falle di sicurezza in qualsiasi software non è un’ipotesi: è una certezza. Quando la vulnerabilità interessa applicazioni che per loro natura possono avere pesanti ripercussioni nel mondo “reale” (ed è sicuramente il caso dei dispositivi medicali) l’impatto può essere devastante.

Tanto più che il panorama non è dei più rassicuranti, come ha confermato una ricerca del 2017 di WhiteScope (la stessa società di sicurezza che ha individuato la falla nei sistemi Medtronic) che parla di oltre 8.600 bug solo nel settore dei pacemaker “smart”.

Condividi l'articolo