Nem először vagyunk kénytelenek beszámolni arról, hogy fontos, az emberi egészséget azonnal és drasztikusan befolyásolni képes egészségügyi eszközök a technikai fejlődés miatt veszélyessé váltak. Ezúttal is erről van szó: jó néhány szívritmusszabályozó bizonyult sebezhetőnek. Szerencsére megoldás is van már a problémára.

Rejtve maradó támadók

Tavaly decemberben írtunk arról, hogy tíz különböző pacemakert vizsgáltak meg, és mindegyik esetében sikerült vezetékmentes támadást intézni a beültetett eszközök - és így hordozójuk egészsége - ellen. Tesztek szerint öt méteres távolságról befolyásolni lehet egyes szívritmusszabályzókat: leállítani működésüket vagy a páciensre nézve végzetes sokkot okozni a támadással.

De ha erre még nem is kerülne feltétlenül sor, a vezetékmentes támadással megsérthető az érintett magánszférája. Hiszen a támadók kiolvashatják az eszközben tárolt adatokat – merre járt az illető, milyen kezeléseket kapott és milyen aktuális egészségügyi állapotban van.

A kutatók akkor arra keresték a választ, hogy még mindig léteznek-e azok a wireless biztonsági bajok, amelyek léte már tíz évvel ezelőtt is ismert volt. Feketedobozos megközelítéssel lehallgatták a vezetékmentes kommunikációs csatornát, majd reverse-engineering technikával visszafejtették az egyébként jogvédett (tehát nem nyílt szabványon alapuló) kommunikációs protokollt. Mihelyst tudták, mit jelentenek a nullák és egyesek az üzenetekben, ki tudtak olvasni adatokat és támadásokat tudtak indítani.

Mivel fizikai hozzáférésre nincsen szükség, a támadó akár rejtve is maradhat, így felfedésének és felelősségre vonásának kockázata viszonylag alacsony. Ehhez csupán telepítenie kell pár antennát olyan stratégiailag fontos helyekre, mint vonatállomások és kórházak, melyek közelében megfordulnak pacemakeres betegek.

Pár perces update

Egy ilyen jellegű támadást akar ellehetetleníteni az FDA, vagyis az amerikai Élelmiszer - és gyógyszerfelügyelet. Kedden kiadott tájékoztatója szerint az Abbott (korábbi nevén St. Jude Medical) néven ismert vállalat fejlesztette pacemakerek közül mintegy félmillió - Accent, Anthem, Accent MRI, Accent ST, Assurity és Allure típusok - bizonyult sebezhetőnek. Az FDA közlése értelmében a megoldás – elviekben – viszonylag egyszerű: szoftveres frissítéssel ellehetetleníthető a támadás.

Ugyanakkor van egy kis bökkenő: ezeket az eszközöket az emberi testbe ültetik be, tehát nem annyira egyszerű a frissítés alkalmazása. Ehhez vagy el kell távolítani a szívritmusszabályozót a testből (és továbbítani a megfelelő helyrE), vagy a páciensnek fizikailag is meg kell jelennie egy olyan helyen, ahol képesek a frissítés elvégzésére. Szerencsére maga a folyamat nem tart túlságosan sokáig: az Abbott közlése szerint nagyjából három percnyi időt igényel a használó életéből.

Egyelőre nem érkezett beszámoló arról, hogy vajon kihasználták-e már ezt a sebezhetőséget, és okozott-e az problémát pacemakerrel élő páciensnek. Mindössze annyit reagált az FDA, hogy habár a wireless technológia orvosi eszközök körében való terjedése kétségtelenül jelent némi biztonsági kockázatot, ugyanakkor többnyire biztonságosabb, hatékonyabb, kényelmesebb és gyorsabb egészségügyi beavatkozást hoz magával alkalmazása.

Mindazonáltal ezt a fajta fenyegetést nagyon komolyan szokták venni. 2013-ban például az akkori alelnök, Dick Cheney maga árulta el, hogy beültetett szívritmusszabályozójában letiltották a vezetékmentes csatlakozás lehetőségét, elejét véve egy ilyen jellegű támadás sikerének.