Gezielte Elektroschocks: Hunderttausende implantierte Defibrillatoren angreifbar
Hunderttausende implantierte Defibrillatoren sind unsicher und können von Hackern angegriffen werden. Das US Department of Homeland Security (DHS) hat deshalb gestern eine Warnung veröffentlicht, nachdem die Lücken bereits im Januar 2018 vertraulich an den Hersteller Medtronic gemeldet worden waren.
Sicherheitsforscher von Clever Security waren auf die Schwachstellen gestoßen. Insgesamt sollen die betroffenen Defibrillatoren, die Herzrhythmusstörungen erkennen und auf diese sofort mit Elektroschocks am Herzen des Patienten reagieren, bei über 750.000 Patienten eingesetzt worden sein. Es sind deshalb so viele Patienten betroffen, da die Sicherheitslücken auf mehr als einem Dutzend Modelle des Herstellers Medtronic vertreten sind. Herzschrittmacher sollen von der Problematik allerdings nicht betroffen sein, sonst wäre die Zahl der implantierten Geräte noch weitaus größer.
Gezielte Elektroschocks möglich
Hacker, die über ausreichend Wissen über die Geräte und ihre Arbeitsweise verfügen, können die Defibrillatoren gezielt manipulieren, die Firmware überspielen, auf den Geräten gespeicherte Gesundheitsdaten wie Name, Adresse und Telefonnummer auslesen und sogar gezielt Elektroschocks auslösen oder diese deaktivieren, was für den Patienten lebensbedrohliche Folgen haben könnte. Patienten wird geraten, nur Geräte zur Kontrolle und Wartung einzusetzen, deren Sicherheit gewährleistet sei und diese sicher aufzubewahren, um Unbefugten keinen Zugriff zu gewähren.
Keine Verschlüsselung und keine Authentifizierung
Voraussetzung für einen erfolgreichen Hackerangriff auf die implantierten Defibrillatoren ist allerdings ein unmittelbarer Kontakt zum Patienten, um in Reichweite des Geräts zu sein. Für den Angriff wird nämlich die Funkverbindung zum Defibrillator genutzt, die normalerweise für die Ersteinrichtung, die regelmäßigen Wartungen und das Überwachen des Patienten zum Einsatz kommt.
Der proprietäre Funkstandard des Unternehmens nutzt dabei jedoch keine Verschlüsselung und keine Authentifizierung zur Übertragung der Daten. Welche Entfernung genau ausreichend ist, nennt das DHS nicht, die Ausnutzung der Schwachstellen sei aufgrund der Nähe deshalb zwar schwierig, aber ansonsten auch mit wenig Wissen möglich. Die Geräte zur Wartung, MyCareLink und CareLink, setzen wiederum nur ein per MD5 geschütztes, acht Zeichen langes Passwort ein, das die Forscher in weniger als 30 Sekunden mittels Brute Force überwunden hatten, um Root-Access zu dem Linux-Betriebssystem der Geräte zu erhalten, um dieses zu verändern.
An Firmware-Update wird gearbeitet
Ob die Sicherheitslücke bereits Ziel von Angriffen war, ist bislang nicht bekannt. Hinweise hierauf lägen zwar nicht vor, dennoch werde dies aktuell untersucht, so Medtronic gegenüber Gizmodo. Zudem arbeite Medtronic an einem Firmware-Update für alle betroffenen Modelle, um die Sicherheitslücke schnellstmöglich zu schließen. Bis alle über 750.000 Patienten damit allerdings versorgt sein werden, wird viel Zeit vergehen.