Conexus-telemetrieprotocol pacemakers kwetsbaar voor aanvallen

Fabrikant Medtronics maakt voor zijn pacemakers en implanteerbare hartapparaten gebruik van een onveilig telemetrieprotocol. De Amerikaanse overheid waarschuwt dat deze apparatuur aangevallen kan worden.

Een kwaadwillende in de buurt van een slachtoffer kan een dergelijke pacemaker op afstand manipuleren. De oorzaak is dat de fabrikant gebruikt maakt van een onbeveiligd draadloze Conexus-telemetrieprotocol. Dit protocol is nodig voor communicatie tussen monitoringapparaten en pacemakers.

Geen encryptie, authenticatie of autorisatie

Via dit protocol, dat functioneert via radiofrequenties, kunnen programmeer- en monitoringapparaten gegevens van de pacemakers uitlezen en de instellingen wijzigen. Het protocol heeft geen encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon zowel inbreken in de pacemaker als de programmeer- en monitoringapparaten, aldus de Amerikaanse toezichthouder FDA.

Beveiligingsupdates

De ernst van het beveiligingslek is beoordeeld met een 9,3 op een schaal van 1 tot en met 10. Aan het niet-versleuteld verzenden van gevoelige data werd een score van 6,5 toegekend. De fabrikant zou aan beveiligingsupdates werken. Toch stelt Medtronics dat patiĆ«nten het beste de apparatuur kunnen blijven gebruiken. “De voordelen van remote monitoring zijn groter dan de praktische risico’s dat deze kwetsbaarheden worden misbruikt,” aldus de frabrikant.

Aanmelden voor onze nieuwsbrief