A világ legnagyobb egészségügyi eszközöket gyártó cége elismerte, hogy számos beültetett szívritmus-szabályozójuk olyan titkosítatlan vezeték nélküli protokollt használ, mely lehetővé teszi, hogy illetéktelen személyek is módosítsanak az életmentő szerkezet beállításain. 

Ez a probléma több mint 20 féle beültethető defibrillátort érint, mindegyiket az amerikai Medtronic gyártotta. A hibára múlt héten hívta fel a figyelmet az amerikai belbiztonsági minisztérium alá tartózó kiberbiztonsági ügynökség. A sérülékenységet értékelő, 10 fokú skálán a hibát 9,3-asra értékelték, mivel értékelésük szerint kevés háttértudás és informatikai ismeret birtokában is módosíthatja valaki a beépített eszközök teljesítményét. 

Ugyanakkor nemcsak a Medtronic, de a gyógyszeripart is felügyelő FDA is arra jutott, hogy a páciensek használják tovább az eszközöket a hiba kijavításáig, mivel a szívritmus-szabályzók és defibrillátorok egészségügyi haszna jóval túlmutat egy hackertámadás viszonylag kevés eséllyel bíró kockázatával szemben. 

A gyártónak és a kormányhivatalnak nincs ismerete arról, hogy történt volna már ilyen visszaélés. 

A gyenge pont abban a vezeték nélküli protokollban van, amely összeköti a defibrillátorokat az otthoni ellenőrző eszközökkel, melyen keresztül az orvosok a távolból is követhetik a beteg állapotát. 

A belbiztonsági hivatal szerint a támadás esélye a sérülékenység ellenére azért alacsony, mert az eszközök olyan rádiófrekvenciás átvitelt használnak, melyek csak kis, mintegy hatméteres távolságban tudnak adatot továbbítani, azaz egy rossz szándékú hackernek nagyjából ott kéne lennie abban a szobában, ahol a potenciális áldozata is épp tartózkodik. Ráadásul az adatátvitel nem is folyamatos a beépített eszközök és a monitorozó rendszer között, és beavatkozni is csak abban a szűk idősávban lehetne, amikor az eszközt használó épp feltölti az adatait. (NBC)