Maaaring pumatay ng pacemaker hack sa pamamagitan ng laptop

Ang mga pacemaker mula sa ilang mga tagagawa ay maaaring utusan na maghatid ng isang nakamamatay, 830-boltahe shock mula sa isang tao sa laptop hanggang 50 metro ang layo

Ang bagong pananaliksik ay nagmula sa Barnaby Jack ng seguridad vendor IOActive, na kilala para sa kanyang pagtatasa ng iba pang mga kagamitang medikal tulad ng mga aparato ng paghahatid ng insulin.

Jack, na nagsalita sa seguridad ng Breakpoint ang pagpupulong sa Melbourne noong Miyerkules, sinabi na ang kapintasan ay nakasalalay sa programming ng wireless transmitters na ginagamit upang magbigay ng mga tagubilin sa mga pacemaker at mga implantable cardioverter-defibrillators (ICDs), na nakakakita ng irregular na mga contraction ng puso at naghahatid

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang isang matagumpay na pag-atake gamit ang kapintasan "ay maaaring magresulta sa mga fatalidad," sabi ni Jack, na nagpapaalam sa mga tagagawa Sa isang video demonstration, ipinakita ni Jack kung papaano siya maaaring maging sanhi ng isang pacemaker na biglang naghahatid ng isang 830-volt shock, na maaaring marinig na may malulutong na naririnig na pop.

Ang panganib ng wireless

Maraming 4.6 milyong pacemaker at ICDs ang ibinebenta sa pagitan ng 2006 at 2011 sa US lamang, sinabi ni Jack. Sa nakaraan, ang mga pacemaker at ICDs ay reprogrammed ng medikal na kawani gamit ang isang wand na kailangang pumasa sa loob ng ilang metro ng isang pasyente na may isa sa mga aparato na naka-install. Ang wand ay lumiliko sa isang paglipat ng software na magpapahintulot nito upang tanggapin ang mga bagong tagubilin.

Barnaby Jack

Ngunit ang trend ay ngayon upang pumunta wireless. Ang ilang mga medikal na mga tagagawa ay nagbebenta ng mga bedside transmitters na pumalit sa wand at may wireless range na hanggang 30 hanggang 50 talampakan. Inaprubahan ng U.S. Food and Drug Administration ang buong mga implantable device na nakabatay sa radyo na tumatakbo sa hanay ng 400MHz, sinabi ni Jack.

Gamit ang malawak na hanay ng pagpapadala, ang mga remote na pag-atake laban sa software ay nagiging mas magagawa, sinabi ni Jack. Sa pag-aaral ng mga transmitters, natagpuan ni Jack na ang mga aparato ay magbibigay ng kanilang serial number at numero ng modelo matapos na wireless na makipag-ugnay sa isa na may isang espesyal na utos.

Gamit ang serial at numero ng modelo, maaaring muling i-reprogram ni Jack ang firmware ng isang transmiter, payagan ang reprogramming ng isang pacemaker o ICD sa katawan ng isang tao.

"Hindi mahirap makita kung bakit ito ay isang nakamamatay na tampok," sabi ni Jack.

Ang kanyang pananaliksik ay nagsisimula pa lamang. Ang FDA, sinabi niya, ay tumitingin lamang sa pagiging epektibo ng mga aparato at hindi gumagawa ng pag-audit ng code ng isang aparato.

"Ang layunin ko ay upang mapataas ang kamalayan sa mga potensyal na nakahahamak na pag-atake na ito at hinihikayat ang mga tagagawa na kumilos upang repasuhin ang seguridad ng ang kanilang code at hindi lamang ang tradisyunal na mekanismo ng kaligtasan ng mga aparatong ito, "sabi ni Jack.

Data mahina, masyadong

Nakakita rin siya ng iba pang mga problema sa mga aparato, tulad ng katotohanan na kadalasang naglalaman ng personal na data tungkol sa mga pasyente, tulad ng ang kanilang pangalan at ang kanilang doktor. Ang iba pang mga palatandaan ng palatandaan ng sloppy code ay natagpuan din, tulad ng mga potensyal na access sa mga remote server na ginagamit upang bumuo ng software.

"Ang bagong pagpapatupad ay flawed sa maraming mga paraan," sinabi Jack. "Kailangan talaga itong reworked."

Nililikha ni Jack ang "Electric Feel," isang application na may isang graphical na interface ng gumagamit na magpapahintulot sa isang user na i-scan para sa isang aparatong medikal na saklaw. Ang isang listahan ay lilitaw, at ang isang gumagamit ay maaaring pumili ng isang aparato, tulad ng isang pacemaker, na maaaring pagkatapos ay patayin o isinaayos upang maghatid ng isang shock.

Isang karaniwang Pacemaker

Tulad ng kung ito ay hindi masamang sapat, Jack sinabi posible na mag-upload ng firmware na ginawa sa isang server ng kumpanya na makakaapekto sa maraming pacemaker at ICDs, na kumakalat sa pamamagitan ng kanilang mga system tulad ng isang tunay na virus.

"Kami ay potensyal na naghahanap sa isang uod na may kakayahang gumawa ng mass pagpatay," sabi ni Jack. "Ito ay uri ng nakakatakot."

Ironically, ang parehong implants at wireless transmitters ay may kakayahang mag-encrypt ng AES (Advance Encryption Standard), ngunit hindi ito gumagana, sinabi ni Jack. Ang mga aparato ay mayroon ding mga "backdoors," o mga paraan na maaaring makuha ng mga programmer sa kanila nang walang standard na pagpapatunay gamit ang isang serial at numero ng modelo.

Mayroong isang lehitimong medikal na pangangailangan dahil walang mga backdoors, maaaring kailangan mong "kunin ang isang tao bukas," Sinabi ni Jack. "Ngunit kung magkakaroon sila ng backdoor, kahit na ito ay naka-embed na malalim sa loob ng ICD core. Ang mga ito ay mamahaling mga aparato."

Ang pagtatanghal ni Jack ay maganda na isinalarawan sa isang comic-book tulad ng fashion. Sa isang punto, isang slide ang nagpakita ng isang lalaki na mukhang katulad ng dating bise presidente ng Estados Unidos na si Dick Cheney, na matagal nang nagdusa sa mga problema sa puso. Ang mga bahid sa aparato, sinabi ni Jack, ay nangangahulugan na ang isang magsasalakay ay maaaring magsagawa ng "isang di-makatarungang anonymous assassination" mula sa 50 talampakan ang layo.

"Para sa akin, ang isang laptop ay hindi mukhang isang aparato na kaya ng pagpatay ng isang tao," Sinabi ni Jack.

O bilang isang miyembro ng madla naidagdag: "Walang dulo ng flash ng isang laptop."

Magpadala ng mga tip sa balita at komento sa [email protected]. Sumunod kayo sa akin sa Twitter: @jeremy_kirk