Pacemakers en insulinepompen kwetsbaar voor hacks

Pacemakers van Medtronic vertrouwen niet op versleutelde communicatie om firmware-updates te beveiligen. Daardoor zouden hackers mogelijk malware kunnen installeren waardoor de levens van patiënten in het geding komen. Dat melden veiligheidsonderzoekers Billy Rios en Jonathan Butts tijdens de Black Hat hackersconferentie in Las Vegas.

Rios en Butts stellen dat ze Medtronic al in januari 2017 van de kwetsbaarheden op de hoogte gesteld hebben. Tot nu toe werkt het proof-of-concept dat ze toentertijd ontwikkelden nog altijd. Donderdag demonstreerde het duo tijdens de presentatie een hack van de CareLink 2090, die door artsen gebruikt wordt om de pacemaker in te stellen nadat die al in de patiënt zit.

Slecht beveiligd

Omdat updates van de pacemaker niet via een versleutelde HTTPS-verbinding wordt overgedragen en de firmware niet digitaal ondertekend is, konden de onderzoekers die ertoe dwingen om malware mee te installeren die artsen niet kunnen detecteren. De werking van de pacemakers kan veranderd worden, met mogelijk grote gevolgen voor de levens van patiënten. Zo zou het aantal schokken omhoog gevoerd kunnen worden.

De veiligheidsonderzoekers zijn bepaald niet te spreken over de reactie van Medtronic. “Dit is geen online spelletje waar de highscores veranderd kunnen worden. Dit draait om de veiligheid van mensen”. Medtronic reageerde via de mail tegenover ArsTechnica en stelt dat er manieren bestaan om de problemen op te lossen. Maar de onderzoekers zijn het daar niet mee eens en stellen dat hun hacks nog altijd werken.

Kwetsbare servers

Er zitten ook kwetsbaarheden in de servers waarmee de software afgeleverd worden. Hackers zouden zich bij het VPN kunnen voegen en kunnen rommelen met de updates. Dat is overigens een theoretisch scenario, want de onderzoekers hebben bewust besloten de hack niet uit te voeren, omdat de servers actief gebruikt worden.

Overigens zijn niet alleen de pacemakers kwetsbaar; ook de insulinepompjes van Medtronic zijn kwetsbaar. Doordat die van een afstand in te stellen zijn, zouden kwaadwillenden ook kunnen instellen dat de insulinepompen meer afgeven dan nodig is. De onderzoekers zijn dan ook kritisch over het feit dat Medtronic te lang doet over het uitbrengen van updates.