Kritische fout laat hackers levensreddende apparaten bedienen

De federal government van Amerika waarschuwde op 14 maart 2019 voor een ernstige kwetsbaarheid in Medtronic’s cardiodefibrillatoren waarmee aanvallers radiocommunicatie kunnen gebruiken om stiekem de volledige controle over de reddings apparaten te nemen nadat ze bij een patiënt zijn geïmplanteerd.

Department of Homeland Security

Op 14 maart 2019 heeft het US Department of Homeland Security's Cybersecurity and Infrastructure Security Agency een advies uitgebracht waarin voor het eerste keer de kwetsbaarheid openbaar werd gemaakt: “Door een succesvolle benutting van deze kwetsbaarheden kan een aanvaller doormiddel van een korte afstand toegang verkrijgen tot één van de betrokken producten die de radiofrequentie van het Medtronic’s eigen Conexus telemetry system verstoren, genereren, wijzigen of onderscheppen. Dit zorgde ervoor dat de mogelijk functionaliteit van het product beïnvloed en/ of toegang verleent kon worden tot verzonden gevoelige gegevens. Het resultaat van een succesvolle benutting van deze kwetsbaarheden kan de mogelijkheid omvatten om een geldige geheugenlocatie op het betreffende geïmplanteerde apparaat te lezen en te schrijven en daarom de beoogde functie van het apparaat beïnvloeden.”

Defibrillators

Defibrillators zijn kleine chirurgisch geïmplanteerde apparaten die elektrische schokken afleveren om potentieel fatale onregelmatige hartritmes te behandelen. In de afgelopen decennia hebben artsen steeds vaker radiofrequenties gebruikt om apparaten te monitoren en aan te passen nadat ze zijn geïmplanteerd. Een reeks geïmplanteerde cardiodefibrillators die door Medtronic zijn gemaakt maken gebruik van twee soorten radiofrequentie gestuurde consoles. Voor de installatie, periodiek onderhoud en regelmatige bewaking maken artsen gebruik van de CareLink Programmer van het bedrijf in klinieken, terwijl patiënten de MyCareLink Monitor thuis gebruiken om ervoor te zorgen dat de defibrillators goed werken.

Geen encryptie, geen authenticatie en kwetsbaarheden

Onderzoekers van beveiligingsbedrijf Clever Security ontdekten dat het Conexus Radio Frequency Telemetry Protocol (de radiofrequentie die Medtronic gebruikt voor zijn draadloze apparaten) geen codering biedt om communicatie te beveiligen. Dat maakt het mogelijk voor aanvallers binnen het radiogamma om mededelingen af te luisteren. Erger nog, het protocol beschikt niet over authenticatiemiddelen voor legitieme apparaten om te bewijzen dat ze gemachtigd zijn om de geïmplanteerde apparaten onder controle te krijgen. Dat gebrek aan authenticatie, gecombineerd met een andere kwetsbaarheden, maakt het voor aanvallers binnen het radiografisch bereik mogelijk om de defibrillatorfirmware volledig te herschrijven, wat zelden wordt gezien bij exploits die de kwetsbaarheid van medische apparaten beïnvloeden.

De onderzoekers hebben Medtronic al sinds januari 2018 op de hoogte gebracht van deze kritische kwetsbaarheid.

Onderzoekers

Een door onderzoekers ontwikkelde proof-of-concept-aanval was in staat om de geïmplanteerde Medtronic’s apparaten onder controle te krijgen op een manier die tot nu toe onzichtbaar was in de meeste kwetsbaarheden die de levensreddende medische apparaten beïnvloeden. Met fysieke toegang tot een MyCareLink- of CareLink-console konden de onderzoekers wijzigingen aanbrengen die namen van patiënten, artsen, relevante telefoonnummers en mogelijk fatale veranderingen aanbrengen in de schokken die de apparaten hebben geleverd. Nog indrukwekkender was dat de aanval alle firmware die werd gebruikt om het implantaat te bedienen kon lezen en herschrijven.

De onderzoekers vertelde aan Ars dat ze met aangepaste Medtronic apparaten (MyCareLink- en CareLink-consoles), binnen het bereik van een geïmplanteerde defibrillator, verschillende aanvallen kon uitvoeren.

Medtronic aanpassingen

De onderzoekers vertelde dat de wijzigingen die Medtronic aan de consoles heeft aangebracht, zijn ontworpen om het voor hen moeilijker te maken om defibrillatorfirmware draadloos te lezen en te herschrijven. Ze waarschuwden echter dat totdat draadloze verbindingen worden gecodeerd en geverifieerd, de onderzoekers niet geloven dat er een manier is om aanvallen van de consoles of aangepaste hardware volledig te voorkomen.

"De wijzigingen die Medtronic al heeft aangebracht om aanvallen te detecteren," vertelde Peter Morgan, oprichter en directeur van Clever Security, aan Ars. "Zonder updates van de firmware van de defibrillator is het niet realistisch mogelijk om te voorkomen dat de wijzigingen bedoeld zijn om schadelijke activiteiten te detecteren."