Jack od lat specjalizuje się w kwestii bezpieczeństwa sprzętu medycznego (analizował już m.in. zabezpieczenia urządzeń dostarczających insulinę) - tym razem wziął na warsztat że sztuczne rozruszniki oraz wszczepialne kardiowertery-defibrylatory serca. Efekty jego prac są niepokojące - specjalista wykazał m.in., że kardiowertery-defibrylatory wielu różnych producentów można zdalnie zmusić do wygenerowania gwałtownego wyładowania o napięciu 830 voltów. Efektem takiej operacji - którą można przeprowadzić nawet z 15 metrów, wykorzystując do tego zwykły komputer - prawdopodobnie będzie śmierć użytkownika.

Według Barnaby Jacka, przyczyną takiego stanu rzeczy jest zła jakość oprogramowania sprzętu medycznego - a dokładniej urządzeń odpowiedzialnych za odbieranie i przekazywanie nadawanych bezprzewodowo komend dla rozruszników.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Podczas swojego wystąpienia na Breakpoint specjalista zademonstrował, jak można przeprowadzić taki atak - publiczność miała więc okazję zobaczyć efektowne, 830-votlowe wyładowanie (wyraźnie było słychać głośny trzask).

Jack powiadomił już o problemie producentów urządzeń - aczkolwiek na razie z oczywistych względów nie poinformował, które dokładnie modele są podatne na atak. Ograniczył się tylko do stwierdzenia, że tylko w USA i tylko pomiędzy rokiem 2006 a 2011 na rynek trafiło ok. 4,6 mln możliwych do zaatakowania elektrostymulatorów pracy serca.

Problem w znacznej mierze wynika z tego, że producenci sprzętu chcieli zapewnić lekarzom i serwisantom możliwość wygodnego sterowania urządzeniem - niestety, upraszczając procedury wysyłania instrukcji, doprowadzono do sytuacji, w której taka instrukcja może zostać wysłana przez nieautoryzowanego użytkownika. Co więcej - skoro można to robić bezprzewodowo, to ów użytkownik nie musi nawet znacząco zbliżać się do osoby korzystającej ze stymulatora - wystarczy ok. 15 metrów.

Do przeprogramowania urządzenia "napastnik" potrzebuje dokładnej nazwy modelu oraz numeru seryjnego stymulatora - mając te dane, może on przeprogramować jego firmware i zmusić do wykonania potencjalnie niebezpiecznych dla użytkownika operacji.

Barnaby Jack twierdzi, że słabości oprogramowania sprzętu medycznego można wykorzystać do przeprowadzenia ataku na dużą skalę - można wyobrazić sobie np. sytuację, w której ktoś modyfikuje oprogramowanie stymulatorów tak, by szkodziły użytkownikom, a następnie włamuje się na serwer producenta i umieszcza je w sekcji, z której nowe wersje firmware’u pobierają osoby odpowiedzialne za ich aktualizowanie...