viernes, 22 de marzo de 2019

La falla crítica permite a los piratas informáticos controlar los dispositivos de salvamento implantados dentro de los pacientes

An X-ray showing an cardio defibrillator implanted in a patient.

AgrandarRadiografía que muestra un desfibrilador cardio implantado en un paciente. (crédito:Sunzi99 ~ commonswiki

El gobierno federal advirtió el jueves de una falla grave en los desfibriladores cardiovasculares de Medtronic que permite a los atacantes usar comunicaciones de radio para tomar de forma subrepticia el control total de los dispositivos de salvamento después de ser implantados en un paciente.

Los desfibriladores son pequeños dispositivos implantados quirúrgicamente que administran descargas eléctricas para tratar los ritmos cardíacos irregulares potencialmente fatales. En las últimas décadas, los médicos han usado cada vez más radios para monitorear y ajustar los dispositivos una vez que están implantados en lugar de usar medios más antiguos, más costosos y más invasivos. Un conjunto de desfibriladores cardio implantados fabricados por Medtronic se basan en dos tipos de consolas basadas en radio para la configuración inicial, el mantenimiento periódico y el monitoreo regular. Los médicos utilizan la empresa.Programador CareLinken las clínicas, mientras que los pacientes utilizan laMonitor MyCareLinken hogares para asegurar regularmente que los desfibriladores estén funcionando correctamente.

Sin cifrado, sin autenticación, y una serie de otros defectos

Los investigadores de la firma de seguridad Clever Security descubrieron que el Protocolo de telemetría de radiofrecuencia Conexus (los medios patentados de Medtronic para que los monitores se conecten de forma inalámbrica a los dispositivos implantados) no proporcionan cifrado para asegurar las comunicaciones. Eso hace posible que los atacantes dentro del alcance de la radio puedan escuchar a escondidas las comunicaciones. Peor aún, el protocolo no tiene medios de autenticación para que los dispositivos legítimos demuestren que están autorizados para tomar el control de los dispositivos implantados. Esa falta de autenticación, combinada con una serie de otras vulnerabilidades, hace posible que los atacantes dentro del alcance de la radio reescriban completamente el firmware del desfibrilador, que rara vez se ve en ataques que afectan las vulnerabilidades de los dispositivos médicos.

Leer 12 párrafos restantesComentarios

Publicado por en 6:30

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)