Ранее мы уже рассказывали о том, что кардиостимуляторы и кардиодефибрилляторы компании St. Jude Medical содержат многочисленные уязвимости, которые могут представлять опасность для здоровья и жизни пациентов. Такие заявления еще в 2016 году сделали специалисты компании MedSec и представители инвестиционной фирмы Muddy Waters Capital. Хотя вначале представители St. Jude Medical рьяно опровергали эту информацию и даже называли доклад исследователей ложью, в итоге выяснилось, что уязвимости в оборудовании St. Jude Medical настоящие и действительно могут представлять опасность.
Дело в том, что этим резонансным скандалом заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В итоге независимые эксперты подтвердили выводы MedSec.
«Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда», — гласил отчет FDA.
Но инцидент по-прежнему далек от завершения. Так, на этой неделе представители Управления по контролю за продуктами и лекарствами, а также специалисты US-CERT выпустили официальные предупреждения, согласно которым ряд имплантируемых устройств Abbott подлежит отзыву из-за тех самых проблем с безопасностью. Уязвимости содержат модели Accent, Anthem, Accent MRI, Accent ST, Assurity и Allure. Заменить устройства конечно невозможно, ведь кардиостимуляторы установлены в груди своих владельцев, поэтому теперь почти полмиллиона пациентов должны будут обратиться к врачам для обновления ПО. Кстати, неизвестно, сколько пациентов с уязвимыми кардиостимуляторами находятся за пределами США.
Разработчики бывшей St. Jude Medical окончательно устранили проблемы у своих устройствах в январе 2017 года, а 23 августа 2017 года патчи получили официальное одобрение FDA. Теперь разработчики Abbott подготовили подробные инструкции для пациентов и для врачей. Согласно данным компании, обновление занимает всего три минуты, и в худшем случае устройство может лишь откатиться к предыдущей версии прошивки (вероятность 0,161%), или будут потеряны диагностические данные (вероятность 0,023%). Шанс того, что кардиостимулятор совсем откажет после обновления, ничтожно мал — всего 0,003%.
Представители Abbott, US-CERT и FDA уверяют, что реальных атак на кардиостимуляторы еще не фиксировали ни разу. Также официальные лица успокаивают пациентов тем, что уязвимости скорее носят теоретический характер.
Но с такой точкой зрения согласны далеко не все. К примеру, известный ИБ-эксперт и профессор университета Джона Хопкинса, Мэттью Грин (Matt Green) пишет у себя в твиттере, что сейчас все уповают на то, что мы живем в реальном мире, а не сериале про шпионов, и люди полагают, что не найдется психопатов, которые действительно решатся на подобные атаки. Но, по словам Грина, почему-то все игнорируют тот факт, что атаки на кардиостимуляторы и другие медицинские устройства в самом скором будущем могут стать настоящей золотой жилой для вымогателей и шантажистов, которые могут атаковать не только самих пациентов, но и производителей. «Атакующим неважно, кому они могут навредить, если в итоге они получат свою прибыль (пусть даже небольшую)», — пишет Грин.
Now one hopes nobody would ever be enough of a psychopath to do this. But to threaten to do this to extort money? Sure.
— Matthew Green (@matthew_d_green) August 30, 2017
This whole “nobody will hack pacemakers, the world isn’t Homeland” ignores the threat of extortion attacks on manufacturers.
— Matthew Green (@matthew_d_green) August 30, 2017
Фото: Steven Fruitsmaak
