PLANTS VS ZOMBIES 2 LIVE
Indholdsfortegnelse:
Pacemakere fra flere producenter kan pålægges at levere et dødbringende 830 volts chok fra en person på en bærbar computer op til 50 meter væk, resultatet Den dårlige softwareprogrammering af medicinsk udstyrsvirksomheder.
Den nye forskning kommer fra Barnevare Jack of Security Vendor IOActive, kendt for sin analyse af andet medicinsk udstyr, såsom insulinleverende enheder.
Jack, der talte ved Breakpoint Security konferencen i Melbourne onsdag, sagde fejlen ligger i programmeringen af de trådløse sendere, der bruges til at give instruktioner til pacemakere og implanterbare cardioverter-defibrillatorer (ICD'er), som opdager uregelmæssige hjertesammentrækninger og leverer et elektrisk stød for at afværge et hjerteanfald.
[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]Et vellykket angreb ved hjælp af fejlen "kan helt sikkert resultere i dødsfald", sagde Jack, som har meddelt producenterne af problemet, men offentliggjorde ikke offentligt virksomhederne.
I en video demonstration viste Jack, hvordan han kunne få en pacemaker til at pludselig levere et 830 volts chok, som kunne høres med en skarp lydpop.
Trådløs risiko
Så mange som 4,6 millioner pacemakere og ICD'er blev solgt mellem 2006 og 2011 alene i USA, sagde Jack. Tidligere blev pacemakere og ICD'er omprogrammeret af medicinsk personale ved hjælp af en tavle, der måtte passere inden for et par meter af en patient, der har en af enhederne installeret. Manden vinger en software switch, der gør det muligt at acceptere nye instruktioner.
Men trenden er nu at gå trådløst. Flere medicinske producenter sælger nu sengetransmittere, som erstatter staven og har en trådløs rækkevidde på op til 30 til 50 fod. I 2006 godkendte USA Food and Drug Administration fuldstændige radiofrekvensbaserede implanterbare enheder, der opererer i 400MHz-området, sagde Jack.
Med det brede transmissionsområde bliver fjernangreb mod softwaren mere gennemførlige, sagde Jack. Efter at have studeret transmitterne fandt Jack, at enhederne ville opgive deres serienummer og modelnummer, efter at han trådløst havde kontaktet en med en speciel kommando.
Med serielle og modelnumre kunne Jack derefter omprogrammere en transmitters firmware, hvilket ville Tillad omprogrammering af en pacemaker eller ICD i en persons krop.
"Det er ikke svært at se, hvorfor dette er en dødelig funktion," sagde Jack.
Hans forskning er lige begyndt. FDA, sagde han, ser bare på den medicinske effektivitet af enheder og foretager ikke en revision af en enheds kode.
"Mit mål er at øge bevidstheden om disse potentielle ondsindede angreb og opfordre producenterne til at handle for at gennemgå sikkerheden ved deres kode og ikke kun de traditionelle sikkerhedsmekanismer i disse enheder, "sagde Jack.
Data sårbar, også
Han fandt også andre problemer med enhederne, såsom den omstændighed, at de ofte indeholder personlige data om patienter som f.eks. deres navn og deres læge. Andre fortælle tegn på sløv kode blev også fundet, såsom potentiel adgang til eksterne servere, der bruges til at udvikle softwaren.
"Den nye implementering er fejlbehæftet på mange måder," sagde Jack. "Det skal virkelig omarbejdes."
Jack udvikler "Electric Feel", et program med en grafisk brugergrænseflade, der gør det muligt for en bruger at scanne efter en medicinsk enhed inden for rækkevidde. En liste vises, og en bruger kan vælge en enhed, som f.eks. En pacemaker, som derefter kan lukkes eller konfigureres til at levere et chok.
Som om dette ikke var dårligt, Jack sagde det er muligt at uploade specialkonstrueret firmware til en virksomheds servere, der ville inficere flere pacemakere og ICD'er, der spredes gennem deres systemer som en rigtig virus.
"Vi ser potentielt på en orm med evnen til at begå massemord," sagde Jack. "Det er lidt skræmmende."
Ironisk nok er både implantaterne og de trådløse sendere i stand til at bruge AES (Advance Encryption Standard) -kryptering, men det er ikke aktiveret, sagde Jack. Enhederne har også "bagdøre" eller måder, at programmører kan få adgang til dem uden standardautentificering ved hjælp af et serienummer og et modelnummer.
Der er et legitimt medicinsk behov siden uden bagdøre, du skal muligvis "skære nogen åben" Sagde Jack. "Men hvis de skal have en bagdør, har de i det mindste indlejret dybt inde i ICD-kernen. Det er dyre enheder."
Jacks præsentation blev smukt illustreret i en tegneserie-lignende måde. På et tidspunkt viste et dias en mand, der lignede den tidligere amerikanske vicepræsident Dick Cheney, der længe lider af hjerteproblemer. Manglerne i enheden, sagde Jack, kunne betyde, at en angriber kunne udføre "en temmelig anonym mord" fra 50 meter væk. "
" For mig ser en bærbar computer ikke ud som en enhed, der kan dræbe nogen " Jack sagde.
Eller som et publikum tilføjede: "Der er ingen mundflaske med en bærbar computer."
Send nyhedstips og kommentarer til [email protected]. Følg mig på Twitter: @jeremy_kirk
Apple kan dræbe iPhone Apps fjernt eller kan det?
Apple "kill switch" fundet i iPhone 2.0 OS årsager røre, da udviklere overvejer, hvorfor det er der.
Kentucky kan dræbe onlinespil permanent
Tilstanden for Kentucky's forsøg på at blokere beboers adgang til 141 onlinespilsteder er gået videre til næste niveau som en Franklin County Circuit Court dommeren afviste torsdag for at afvise sagen.
Kan en retssag dræbe adfærdsmæssige annoncer?
Forbrugerne rebelger mod NebuAd og dets internetudbydere for at spore deres surfevaner.