Aggiornamenti recenti Maggio 8th, 2024 2:00 PM
Ago 29, 2016 Marco Schiaffino Gestione dati, News, Privacy, Vulnerabilità 0
Migliaia di pazienti cardiopatici potrebbero rischiare di perdere la vita a causa di una serie di vulnerabilità che mette a rischio il funzionamento di presidi medici come pacemaker e defibrillatori.
L’allarme arriva da una fonte insolita: si tratta di Muddy Waters Research, un’azienda che si occupa di effettuare ricerche e produrre report in ambito finanziario sulla solidità e affidabilità delle società quotate in borsa.
Il rapporto di Muddy Waters, eseguito in collaborazione con la società di sicurezza informatica MedSec, ha chiaramente l’obiettivo di affossare economicamente la St. Jude Medical, azienda attiva nella produzione di presidi medici per pazienti cardiopatici. Il contenuto, però, lascia pochi dubbi sulla gravità del problema.
Stando a quanto riportato dai ricercatori di MedSec, i dispositivi commercializzati da St. Jude Medical non utilizzano alcun sistema di sicurezza per gestire i collegamenti con il sistema Merlin@home, usato per la gestione dei presidi in questione.
L’ecosistema prevede l’uso dei presidi medici dotati di un sistema di comunicazione radio, che gli consente di comunicare sia con i dispositivi Merlin@home, utilizzati per ricevere informazioni dai dispositivi, sia con i Programmer, usati invece per impostare il loro funzionamento.
Il problema, secondo quanto riportato da Muddy Waters Research, è che tutto il sistema non utilizza alcuna funzione di crittografia e, in teoria, qualsiasi Programmer e Merlin@home è in grado di comunicare con qualsiasi presidio medico.
Peggio ancora, i dispositivi non hanno alcun sistema di sicurezza che li protegga. Sempre stando a quanto riportato nel documento, MedSec ha impiegato meno di dieci minuti per ottenere i privilegi di root di un dispositivo Merlin@home, avendo così accesso alle informazioni riguardanti il presidio medico abbinato.
I nuovi modelli, tra l’altro, sono in grado di comunicare con i presidi medici a una distanza di 15 metri, il che rende possibile il collegamento anche senza che il paziente possa rendersi conto di quello che sta accadendo.
In pratica, quindi, chiunque sia in possesso di un dispositivo di controllo (modelli usati sono in vendita su eBay per 35 $) potrebbe ottenere informazioni riservate sulla salute di una persona e rubare i dati di accesso del suo account senza che questi se ne possa accorgere.
Ma esistono rischi seri per la vita dei pazienti? Stando al report, MedSec avrebbe sperimentato con successo due tipi di attacchi che potrebbero provocare il malfunzionamento di un pacemaker o di un defibrillatore e mettere a repentaglio di conseguenza la salute del paziente.
Il primo provocherebbe un vero e proprio crash del dispositivo, mentre il secondo porterebbe al consumo precoce delle batterie del presidio medico. Insomma: sfruttando queste tecniche qualcuno potrebbe tentare di uccidere una persona attraverso un “attacco radio” a 15 metri di distanza.
Roba da fantascienza, ma che rischia di avere un impatto reale sulla vita di migliaia di persone. Il primo impatto, però, è stato indubbiamente sulle quotazioni dell’azienda.
Feb 13, 2024 0
Ott 15, 2018 0
Apr 24, 2018 1
Mag 29, 2017 0
Mag 08, 2024 0
Mag 08, 2024 0
Mag 07, 2024 0
Mag 07, 2024 0
Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 07, 2024 0
A fine aprile i ricercatori di Kandji, piattaforma perMag 07, 2024 0
Gli attacchi di phishing non si fermano e i marchi...Mag 06, 2024 0
Questa settimana, il CERT-AGID ha identificato e analizzato...