La empresa de seguridad de WhiteScope ha descubierto más de 8.600 fallas en los sistemas de marcapasos la mayoria en las bibliotecas de terceros utilizados para alimentar varios de sus componentes.
Las vulnerabilidades van desde simples errores de código a las opciones de diseño terribles que ponen en riesgo la vida de sus pacientes. Los investigadores descubrieron estos defectos en siete productos diferentes de cuatro fabricantes diferentes.Estas cuestiones se detallan en profundidad en un informe del equipo publicado la semana del 22 del mayo.
La mayoría de las vulnerabilidades se encuentran en las bibliotecas de terceros
El foco de la investigación fue sobre dispositivos implantables controlados por radio, como marcapasos, desfibriladores cardioversor implantable (ICD), Generadores de pulso, y la gestión del ritmo cardiaco (CRM).Los investigadores encontraron que la mayoría de estos sistemas de marcapasos trabajaban en una arquitectura similar que incluye el dispositivo real implantado médica, un dispositivo de vigilancia de la casa, una infraestructura basada en la nube que transmite los datos a un médico, y un programador de marcapasos, que el médico utiliza para ajustar la configuración del implante.
La realización de una auditoría de seguridad de toda esta infraestructura resultó en el descubrimiento de más de 8.600 vulnerabilidades asociadas con bibliotecas obsoletas utilizados en el software de programadores de marcapasos.
Defectos de diseño básicos exponen sistemas de marcapasos a la piratería
Los programadores de marcapasos y el marcapasos implantado a partir de los mismos vendedores no se autentican entre sí, permitiendo que un usuario malintencionado que se acerca lo suficiente a una víctima para alterar la configuración del implante.Del mismo modo, los programadores de marcapasos no requieren que los médicos autenticar en el dispositivo, lo que significa que un tercero puede robar uno de estos dispositivos y usarlos para hacer daño, al no tener la preocupación de no poder acceder a la interfaz del programador.
Por último, pero no menos importante, los sistemas de marcapasos almacenan los datos en sistemas de archivos no cifrados en un medio extraíble, lo que significa que cualquier persona puede recoger uno de estos sistemas y empezar a aprender cómo cortar ellos.
Los dispositivos médicos implantables se sabe que son inseguro desde 2013
Como es típico en este tipo de informes que aumenten la comprensión de un problema, los vendedores de marcapasos no han sido nombrados. No obstante, los investigadores dijeron que se pusieron en contacto ICS-CERT y remitieron sus conclusiones por lo que las organizaciones podrían hacer frente a los fallos de seguridad en privado.El hecho de que los marcapasos y otros dispositivos médicos implantables disponen de agujeros de seguridad evidentes ya es bien conocida. Desde 2013 ha habido numerosas advertencias de ambos ICS-CERT y la FDA.
Sin embargo, los investigadores de seguridad han encontrado todavía vulnerabilidades en estos dispositivos en los años que siguieron, incluso en bombas de insulina, no sólo los marcapasos.
