Por meio de um terminal um hacker pode causar a morte de portadores de marca-passos

Adicionar legenda

Falhas de segurança possibilitam que hackers invadam, desliguem o aparelho de marca-passos e até reescrevam o firmware. Isto eles podem fazê-lo a uma distância de 30 metros de distância.

O Pesquisador de engenharia reversa Barnaby Jack da IOActive disse que um transmissor de um marca-passos pode torná-lo vulnerável a receber choques elétricos mortais a uma distância de 30 metros e e permitir que seu firmware seja reescrito.

O efeito dos ataques sem fio não é exagero - em um discurso na conferência de segurança BreakPoint em Melbourne, Jack disse que tais ataques eram equivalente a "um assassinato anônimo", e em um cenário mais realista, o caso pode ser pior ainda, até de, "assassinato em massa".

Em uma demonstração de vídeo, que Jack se recusou a divulgar publicamente porque pode revelar o nome do fabricante do produto, ele emitiu uma série de choques 830 volts para um marca-passo usando apenas um laptop.

Os marca-passos continham uma "função secreta", que poderia ser usada para ativar todos os marca-passos e cardioversores-desfibriladores implantáveis ​​(CDI) em uma vizinhança de mais de 30 metros.

Cada dispositivo tinha um modelo e número de série.

"Com essa informação, temos informação suficiente para autenticar com qualquer dispositivo na faixa", disse Jack.

Aplicando engenharia reversa nos terminais - que se comunica com os marca-passos - ele descobriu sem nenhum esforço ou dificuldade nomes de usuário e senhas, e encontrou dados que pareciam ser até do servidor do fabricante que desenvolveu o a aparelho.

Estes dados poderiam ser utilizados para carregar o firmware de forma criminosa e que poderia se espalhar entre os marca-passos com o "potencial para cometer assassinato em massa".

"O pior cenário que eu posso imaginar é que seria 100% possível com esses dispositivos, carregar uma atualização de um firmware, corrompê-lo ou programa-lo e, então, a partir dele infectar o próximo marca-passo ou CDI e então cada um poderia posteriormente infectar todos os outros em série,” disse Jack.

Ele estava desenvolvendo uma plataforma gráfica de administração apelidada de "Feel Electric", que poderia fazer a varredura de dispositivos médicos em escala com apenas um clique direito, podendo permitir choques no dispositivo, fazer a leitura e escrita de dados no firmware do aparelho marca-passos de um paciente.

"Com uma tensão máxima de 830 volts, não é difícil ver por que este é um recurso bastante mortal. Não só você poderia induzir uma parada cardíaca, mas você pode continuamente recarregar o aparelho e enviar choques ao circuito”, disse ele.

Jack disse que seu objetivo não era causar danos, mas ajudar os fabricantes a garantir maior eficiência e segurança aos seus dispositivos.

"Às vezes você tem que demonstrar o lado mais sombrio", disse ele.

Fonte: SCMagazine