Хакер #305. Многошаговые SQL-инъекции
Исследователям из Массачусетского и Вашингтонского университетов удалось взломать систему дистанционного управления имплантируемым кардиостимулятором. Ученые смогли получить доступ к личным данным пациента и вызвать опасные сбои в работе прибора.
Современные модели имплантируемых медицинских приборов снабжены системами дистанционной передачи данных, позволяющих лечащему врачу удаленно контролировать состояние пациента и менять настройки прибора. По мере увеличения радиуса действия таких систем, в том числе и с помощью беспроводных интернет-соединений, вероятность постороннего вмешательства в их работу будет возрастать, уверены авторы исследования.
Совершившие показательную попытку «взлома» ученые использовали дефибриллятор/кардиостимулятор Maximo, разработанный компанией Medtronic. При помощи оборудования общей стоимостью 30 тысяч долларов они получили доступ к данным, предназначенным для отправки лечащему врачу, а также смогли внести изменения в настройки прибора, изменив ритм подачи электрических импульсов, регулирующих работу сердца пациента. Однако, во время эксперимента прибор находился лишь в нескольких сантиметрах от взломщиков.
Организаторы эксперимента проинформировали о его результатах американское Управление по продуктам и лекарствам (FDA), контролирующее безопасность медицинского оборудования. Исследователи предложили также несколько способов защиты медицинских приборов от возможных хакерских атак. Как отмечают эксперты FDA, за более чем тридцать лет наблюдений ведомство не получило ни одного сообщения о постороннем преднамеренном вмешательстве в работу имплантированных приборов. В свою очередь, представитель Medtronic Роберт Кларк подчеркнул, что последние версии кардиостимуляторов и дефибрилляторов снабжены усовершенствованными системами защиты персональных данных пациентов.