Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha emesso avviso di gravi vulnerabilità in una dozzina di defibrillatori cardiaci impiantabili, potrebbe consentire a un utente malintenzionato con sofisticate conoscenze interne di danneggiare un paziente modificando la programmazione su un defibrillatore impiantato, mettendo potenzialmente a rischio la vita di milioni di pazienti.
Dipartimento della Sicurezza Interna degli Stati Uniti (DHS), che supervisiona la sicurezza nelle infrastrutture critiche degli Stati Uniti, compresi i dispositivi medici, ha emesso un allarme descrivendo due tipi di vulnerabilità di pirateria informatica in 16 diversi modelli di defibrillatori impiantabili di Medtronic venduti in tutto il mondo. La vulnerabilità colpisce anche i monitor da comodino che leggono i dati dai dispositivi nelle case dei pazienti e dai computer di programmazione interni utilizzati dai medici.
Il defibrillatore Cardioverter è un piccolo dispositivo impiantato chirurgicamente (nel torace del paziente) fornisce al cuore del paziente uno shock elettrico (spesso chiamato controshock) per ristabilire un battito cardiaco normale.
Il dispositivo è stato progettato per prevenire la morte improvvisa, ora diversi defibrillatori cardiaci impiantati realizzati da Medtronic una delle più grandi società di dispositivi medici del mondo, sono esposti a due gravi vulnerabilità.
Scoperte dai ricercatori della società di sicurezza Clever Security, le vulnerabilità potrebbero consentire a persone con conoscenza dei dispositivi medici di intercettare e potenzialmente influire sulla funzionalità di questi apparecchi salvavita.
DHS ha rilasciato il seguente avviso:
«Lo sfruttamento di queste vulnerabilità può consentire a un aggressore con accesso a corto raggio adiacente a uno dei prodotti interessati, di modificare o intercettare la comunicazione a radiofrequenza (RF) del sistema di telemetria Conexus di proprietà di Medtronic, con potenziale impatto sulla funzionalità del prodotto e/o consentendo l’accesso a sensibili dati trasmessi».
Le vulnerabilità risiedono nel Conexus Radio Frequency Telemetry Protocol, un sistema di comunicazione senza fili utilizzato da alcuni defibrillatori Medtronic e dalle loro unità di controllo per connettersi via etere, con onde radio ai dispositivi impiantati.
Primo difetto – Mancanza di autenticazione nei defibrillatori impiantabili di Medtronic
Medtronic nel Bollettino di sicurezza riporta che questi difetti riguarda più di 20 prodotti, 16 dei quali sono defibrillatori impiantabili, il resto è riferito a monitor da letto e programmatori dei defibrillatori.
Il difetto più critico dei due è il CVE-2019-6538, accade perché il protocollo di telemetria Conexus non prevede controlli per la manomissione dei dati, né esegue alcuna forma di autenticazione o autorizzazione.
Lo sfruttamento di questa vulnerabilità potrebbe consentire a un aggressore all’interno della portata radio del dispositivo e dell’apparato radio interessato di intercettare, di alterare o modificare la trasmissione dei dati tra il dispositivo e il suo controllore, il che potrebbe potenzialmente danneggiare o addirittura uccidere il paziente.
La nota di DHS riporta:
«Questo protocollo di comunicazione ai dispositivi cardiaci impiantati interessati fornisce la capacità di leggere e scrivere valori di memoria; pertanto, un aggressore potrebbe sfruttare questo protocollo di comunicazione per cambiare memoria nel dispositivo cardiaco impiantato».
Secondo difetto – Mancanza di crittografia nei defibrillatori impiantabili di Medtronic
Il protocollo di telemetria Conexus non prevede inoltre la crittografia per proteggere le comunicazioni di telemetria, consentendo agli aggressori nel raggio d’azione di intercettare la comunicazione. Il problema è stato contrassegnato con la sigla CVE-2019-6540.
Medtronic ha detto che le vulnerabilità sarebbero difficili da sfruttare per danneggiare i pazienti poiché sono previste le seguenti condizioni:
– un individuo non autorizzato dovrebbe essere a non meno di 6 metri dal dispositivo preso di mira o al programmatore della clinica;
– la telemetria Conexus deve essere attivata da un operatore sanitario che si trova nella stessa stanza del paziente;
– al di fuori dell’ospedale i tempi di attivazione dei dispositivi sono limitati, variano da paziente a paziente e sono difficili da prevedere da parte di un utente non autorizzato.
Medtronic tra i giganti della tecnologia medica assicura ai suoi utenti che “fino ad oggi a queste vulnerabilità non sono stati osservati o associati né un danno per il paziente né un attacco informatico”.
Medtronic ha inoltre osservato che la sua linea di pacemaker impiantati, compresi quelli con funzionalità wireless Bluetooth, così come i monitor CareLink Express e i programmatori CareLink Encore (modello 29901) utilizzati da alcuni ospedali e cliniche non sono vulnerabili a nessuno di questi difetti.
Medtronic ha già applicato controlli aggiuntivi per il monitoraggio e la risposta all’abuso del protocollo Conexus da parte dei dispositivi cardiaci impiantati interessati. Sta lavorando a una soluzione per affrontare le vulnerabilità segnalate.
Ha detto che la correzione di sicurezza sarà presto disponibile, nel frattempo ha esortato “i pazienti e i medici a continuare a utilizzare questi dispositivi come prescritto e previsto”.
