Een beveiligingsbedrijf en een investeringsbedrijf uit de Verenigde Staten hebben ernstige kwetsbaarheden in de pacemakers van het bedrijf St Jude Medical naar buiten gebracht om niet alleen patiënten te informeren maar er zelf ook financieel van te profiteren.
Via de beveiligingslekken kan een aanvaller met nauwelijks enige technische kennis de hartslag gevaarlijk verhogen, de apparaten uitschakelen of de batterij laten leeglopen. Een oplossing is nog niet beschikbaar. In tegenstelling wat beveiligingsbedrijven en -onderzoekers in dit soort situaties vaak doen, het waarschuwen van de fabrikant, besloot beveiligingsbedrijf MedSec de fabrikant niet te informeren. Niet alleen zou de veiligheid van de producten van St Jude Medical ernstig te wensen overlaten, volgens de onderzoekers wist het bedrijf al sinds 2013 van de beveiligingsproblemen af, maar besloot het geen actie te ondernemen.
Om naar eigen zeggen patiënten te helpen en het probleem wereldkundig te maken werd de hulp van investeringsbedrijf Muddy Waters ingeschakeld. Niet alleen heeft het investeringsbedrijf het onderzoeksrapport gepubliceerd (pdf), ze stellen ook dat St Jude Medical twee jaar lang geen winst zal maken, omdat het bedrijf volgens de investeerders alle pacemakers moet terugroepen. De apparaten waren vorig jaar voor bijna de helft van de omzet verantwoordelijk. "We vinden de kwetsbaarheden in de pacemakers van St Jude Medical vele malen erger dan de hacks van medische apparaten die in het verleden zijn geopenbaard." Het investeringsbedrijf meldt dat het geen kennis van cybersecurity heeft, maar de aanvallen zelf heeft kunnen nabootsen.
Het probleem zijn de Merlin@home-apparaten die zich in het huis van patiënten bevinden en worden gebruikt om met de pacemakers van St Jude Medical te communiceren. Vervolgens sturen de apparaten de gegevens naar het netwerk van St Jude Medical door. Volgens MedSec wordt er geen authenticatie en encryptie voor de communicatie gebruikt. Iedereen die een Merlin@Home-apparaat weet te vinden, die voor 35 dollar op eBay zouden worden aangeboden, kan vervolgens een pacemaker van iemand anders bedienen. De kwetsbare pacemakers zouden wereldwijd door honderdduizenden mensen worden gedragen.
Naast het openbaren van de problemen kan MedSec ook aan de beveiligingslekken verdienen. Muddy Waters is namelijk "short" gegaan op de aandelen van St Jude Medical. Als de koers naar aanleiding van het onderzoeksrapport daalt zal het investeringsfonds hiervan profiteren en de winst vervolgens met het beveiligingsbedrijf delen.
465.000 Amerikaanse patiënten met een pacemaker moeten een firmware-update installeren wegens deze kwetsbaarheid waardoor het apparaat op afstand kan worden gehackt en de veiligheid van patiënten in gevaar kan komen, zo meldt de Amerikaanse toezichthouder Food and Drug Administration (FDA).
Bij het installeren van de update, wat drie minuten in beslag neemt, kunnen zich namelijk bepaalde problemen voordoen, zoals het laden van de vorige firmware, het verliezen van instellingen en diagnostische data en in bepaalde gevallen kan het apparaat zelfs stoppen met werken. De update is sinds dinsdag voor zorgverleners beschikbaar en dient als 'recall', aldus de FDA. Nieuw geproduceerde pacemakers hebben de update al geïnstalleerd. Er zijn geen gevallen bekend waarbij de pacemaker van een patiënt is gehackt.
Bron: Security.nl