Medical hack poses pacemaker risk - BBC News
Índice:
- Barnaby Jack
- "A nova implementação é falha em muitos aspectos", disse Jack. "Ele realmente precisa ser retrabalhado".
Jack, que falou na segurança Breakpoint A conferência em Melbourne, na quarta-feira, disse que a falha está na programação dos transmissores sem fio usados para dar instruções aos marca-passos e aos cardioversores-desfibriladores implantáveis (ICDs), que detectam contrações cardíacas irregulares e fornecem um choque elétrico para evitar um ataque cardíaco
[Leia mais: Como remover malware do seu PC com Windows]
Um ataque bem-sucedido usando a falha "poderia resultar em fatalidades", disse Jack, que notificou os fabricantes do problema, mas não identificou publicamente as empresas.
Em uma demonstração em vídeo, Jack mostrou como poderia remotamente fazer com que um marcapasso gerasse repentinamente um choque de 830 volts, que poderia ser ouvido com um som audível e nítido.Risco sem fio
Até 4,6 milhões de marcapassos e CDIs foram vendidos entre 2006 e 2011 apenas nos EUA, disse Jack. No passado, os marca-passos e os CDIs eram reprogramados pela equipe médica usando uma varinha que precisava passar a poucos metros de um paciente que possuía um dos dispositivos instalados. A varinha vira um switch de software que permite aceitar novas instruções
Barnaby Jack
Mas a tendência agora é ir sem fio. Vários fabricantes de produtos médicos estão vendendo transmissores de cabeceira que substituem a varinha e têm um alcance sem fio de até 30 a 50 pés. Em 2006, a Food and Drug Administration dos EUA aprovou dispositivos implantáveis baseados em radiofrequência operando na faixa de 400MHz, disse Jack.
Com os números de série e modelo, Jack poderia reprogramar o firmware de um transmissor, o que permitir a reprogramação de um marcapasso ou CDI no corpo de uma pessoa
"Não é difícil entender por que isso é uma característica letal", disse Jack.
Sua pesquisa está apenas começando. O FDA, disse ele, apenas analisa a eficácia médica dos dispositivos e não faz uma auditoria do código de um dispositivo.
"Meu objetivo é aumentar a conscientização sobre esses possíveis ataques maliciosos e incentivar os fabricantes a agir para rever a segurança dos dispositivos." seu código e não apenas os mecanismos tradicionais de segurança desses dispositivos ", disse Jack.
Dados vulneráveis, também
Ele também encontrou outros problemas com os dispositivos, como o fato de conterem dados pessoais sobre pacientes, como seu nome e seu médico. Outros sinais reveladores de códigos desleixados também foram encontrados, como o possível acesso a servidores remotos usados para desenvolver o software.
"A nova implementação é falha em muitos aspectos", disse Jack. "Ele realmente precisa ser retrabalhado".
Jack está desenvolvendo o "Electric Feel", um aplicativo com uma interface gráfica que permite ao usuário procurar um dispositivo médico ao alcance. Aparecerá uma lista e um usuário poderá selecionar um dispositivo, como um marcapasso, que pode ser desligado ou configurado para causar um choque
Um marcapasso padrão
Como se isso não bastasse, Jack disse que é possível fazer upload de firmware especialmente criado para os servidores de uma empresa que infectam múltiplos marcapassos e CDIs, espalhando-se por seus sistemas como um vírus real.
Ironicamente, tanto os implantes quanto os transmissores sem fio são capazes de usar criptografia AES (Advance Encryption Standard), mas não estão ativados, disse Jack. Os dispositivos também têm "backdoors", ou maneiras que os programadores podem obter acesso a eles sem a autenticação padrão usando um número de série e modelo.
Existe uma necessidade médica legítima desde sem backdoors, você pode ter que "abrir alguém" Jack disse. "Mas se eles vão ter um backdoor, pelo menos tê-lo embutido no fundo do núcleo ICD. Estes são dispositivos caros."
Apresentação de Jack foi maravilhosamente ilustrado em uma moda de quadrinhos. Em um ponto, um slide mostrou um homem que parecia bastante semelhante ao ex-vice-presidente dos EUA, Dick Cheney, que há muito sofre de problemas cardíacos. As falhas no dispositivo, disse Jack, poderiam significar que um invasor poderia realizar "um assassinato bastante anônimo" a 15 metros de distância.
"Para mim, um laptop não parece um dispositivo capaz de matar alguém". Jack disse.
Ou como um membro da platéia acrescentou: "Não há flash focinho com um laptop."
Envie dicas de notícias e comentários para [email protected]. Siga-me no Twitter: @jeremy_kirk
Apple pode 'matar' aplicativos de iPhone remotamente, ou pode?
Apple "kill switch" encontrado no iPhone 2.0 causas do SO mexa-se enquanto os desenvolvedores refletem por que ele está lá.
Kentucky pode matar jogadores online permanentemente
A tentativa do estado de Kentucky de bloquear o acesso dos residentes a 141 sites de apostas online avançou para o próximo nível, como Franklin A decisão do estado de Kentucky de bloquear o acesso do residente a 141 sites de jogos online prosseguiu para o próximo nível, como um juiz do Tribunal do Condado de Franklin se recusou na quinta-feira a encerrar o caso. O juiz Thomas Wingate negou pedidos da Interactive Media Entertainment and Gaming Association e do Interactive Gaming Council. Argument
Um processo pode matar anúncios comportamentais?
Os consumidores se rebelam contra a NebuAd e seus parceiros ISP por rastrear seus hábitos de navegação.