На днях Управление по контролю за качеством пищевых продуктов и лекарственных препаратов США (FDA) предупредило, что некоторые электрокардиостимуляторы и сопутствующие медицинские устройства уязвимы для взлома. Надо сказать, что в прошлом различные специалисты в области информационной безопасности неоднократно поднимали эту тему, но это первый случай, когда наличие подобной проблемы признают на правительственном уровне.
Уточним, что уязвимости, о которой говорит FDA, подвержены не сами кардиостимуляторы, а приемопередатчики Merlin@home, изготовленные крупнейшим производителем медицинского оборудования St. Jude Medical. Они встроены в систему удаленного мониторинга сердечной активности, которая подключается к кардиостимуляторам и другим кардиологическим имплантируемым электронным устройствам посредством беспроводного интерфейса. Датчики Merlin постоянно отслеживают поступающие с кардиомонитора данные и передают все на защищенный сайт медицинской сети Merlin.net Patient Care Network, где она оказывается доступной для лечащих врачей.
И хотя FDA не конкретизирует типы угроз, которым подвержены пациенты упомянутых устройств, государственный орган признает, что сенсоры Merlin могут быть взломаны злоумышленниками и впоследствии использованы для отправки на кардиомонитор или любое другое кардиологическое устройство модифицированного кода. Заполучив контроль над устройством, хакер может сделать с ним что угодно, например, досрочно разрядить батарею, ударить электрическим током, или замедлить сердечный ритм пациента. Можно даже совершить идеальное убийство, как в некоторых фильмах.
В FDA успокаивают, что пока ей неизвестно ни одного случая атаки, которая бы использовала эту уязвимость. Кроме того, St. Jude Medical уже выпустила соответствующее OTA-обновление прошивки, устраняющее данную уязвимость. Обновление устанавливается полностью автоматически, пациентам и их опекунам нужно лишь убедиться, что устройство подключено к монитору и к сети.