Даже хакеры, не имеющие опыта и обладающие ограниченными ресурсами, могут провести взлом незащищенных кардиостимуляторов и имплантируемых кардиовертеров-дефибрилляторов (ИКД). Эта возможность была изучена специалистами исследовательской группы ESAT-COSIC and iMinds и Бирмингемского университета.
Эксперты провели исследование, в ходе которого пользовались недорогим оборудованием для реверс-инжиниринга коммуникационных протоколов, применяемых в устройствах. По словам специалистов, имплантируемые медицинские аппараты зачастую пользуются незащищенными или слабозащищенными проприетарными протоколами для обеспечения беспроводной коммуникации.
Анализ, проведенный специалистами, позволил им выявить уязвимости в протоколах и их реализации. Исследователи активировали ИКД, обойдя текущую процедуру активации, осуществили перехват данных и внесли в них изменения, а также отправили вредоносные команды для устройства.
Обнаруженные уязвимости присутствуют как минимум в 10 моделях кардиостимуляторов.
Используя уязвимости, исследователи осуществляли сбор сведений о состоянии здоровья и лечении пациентов, проводили DoS-атаки на устройства, а также отправляли произвольные команды. Для того, чтобы взломать аппарат, злоумышленник должен находиться на расстоянии, не превышающем 2-5 метров от объекта.
