Abonneer je gratis op Techzine!

Een groep van onderzoekers aan een universiteit heeft onderzocht hoe ingewikkeld het is om een implanteerbare cardioverter-defibrillator (ICD) te hacken. Uit het onderzoek is nu gebleken, dat dit niet erg moeilijk is en dat er eenvoudig een schok van 137 Volt gegenereerd kan worden.

Het enige dat nodig is voor het hacken van de ICD is een Oscilloscoop, een computer, een draadloze ontvanger, een zender en een aantal antennes. Met deze spullen is de groep onderzoekers erin geslaagd om toegang te krijgen tot een ICD en daar ook gevoelige informatie van de patiënt uit te kunnen halen. Daarnaast konden ze via deze verbinding ook de werking van de ICD beïnvloeden en het apparaat zelfs regelmatig elektrische schokken laten produceren.

ICD’s zijn zeer kleine levensreddende apparaten welke in de borst van hartpatiënten worden geïmplanteerd en vervolgens worden verbonden met het hart. Het is de bedoeling dat de ICD ingrijpt op het moment dat de hartpatiënt een hartaanval krijgt en middels een schok het hart uit de fibrillatie kan helpen en weer normaal kan laten kloppen.

Sinds 2003 worden deze apparaten al gebruikt in de Verenigde Staten, maar men heeft ze nooit onderworpen aan een serieuze beveiligingstest, zo vertelt Tadayoshi Kohno, assistent professor aan de Universiteit van Washington. Kohno heeft ook meegeschreven aan het artikel dat de veiligheid van de ICD’s en Pacemakers onder de loep neemt. "Wij hebben een aantal experimenten uitgevoerd die laten zien dat er een erg kleine kans is dat iemand toegang krijgt tot de ICD, maar dat deze kans wel zeker bestaat", aldus Kohno.

Onderdeel van het probleem is dat sommige Pacemakers en ICD’s, inclusief de door de onderzoekers geteste Medtronic Maximo, ontwikkeld zijn om middels een onversleuteld draadloos signaal beheerd te worden. Dat betekent dus ook dat wanneer een hacker er even de tijd voor zou nemen het mogelijk is om achter dit protocol te komen en zo de data van de ICD uit te kunnen lezen of deze zelfs te kunnen beïnvloeden. De soort schokken die deze apparaten kunnen geven, kunnen ook zeer hevig zijn. Deze zullen dan voelen als een zeer harde schop tegen de borstkas.


De ICD waarop duidelijk een waarschuwing te zien is voor schokken.

Gadi Evron, een netwerkveiligheidsspecialist uit Israël, laat weten dat de onderzoekers nu dus duidelijk naar andere manieren moeten gaan zoeken voor medische computergestuurde en netwerkondersteunende apparaten die geïmplanteerd worden. Fabrikanten zouden veel beter moeten nadenken over de beveiliging van hun producten, aangezien er volgens Evron mogelijk ook virussen voor de apparaten ontwikkeld kunnen worden.

Volgens Kohno hoeven mensen echter niet bang te zijn dat een dergelijke aanval snel uitgevoerd gaat worden. Het is namelijk zo dat voor een dergelijke aanval de hacker alle apparatuur binnen een afstand van tien centimeter van de ICD moet brengen, iets wat nogal opvallend zou zijn. Kohno wil overigens niet dat mensen stoppen met het gebruik van dergelijke apparaten , maar hoopt alleen dat het onderzoek de medische industrie een beetje waakzamer heeft gemaakt op het gebied van veiligheid en dat zij dus ook in de nieuwe producten, welke mogelijk nog een beter draadloos bereik hebben, deze beveiliging veel beter moeten regelen

Het artikel is afgelopen week gepresenteerd door onderzoekers van de Universiteiten van Washington en Massachuetts, Amherst en Harvard Medical School. De groep zal het onderzoek uitgebreid behandelen op het veiligheidssymposium dat in mei zal plaatsvinden in Oakland, Californië.