Tusentals patienter bär på så kallade defibrillatorer, små hjärtstartare, inopererade i sina kroppar. Syftet är att stabilisera hjärtrytmen om hjärtat börjar slå oregelbundet eller drabbas av hjärtflimmer. Det är samma funktion som ges av de hjärtstartare som numer finns uppsatta runt om på offentliga platser. De senare generationerna av de inopererade varianterna kan övervakas och även omprogrammeras över radiokommunikation, vilket är en klar förbättring jämfört med tidigare då det krävdes fysisk åtkomst.

Nu har den amerikanska myndigheten Department of Homeland Security, DHS, gått ut med en varning för radiokontrollerade defibrillatorer från tillverkaren Medtronic efter att it-säkerhetsforskare på Clever Security upptäckt, och i januari i år rapporterat till DHS, att dessa defibrillatorer relativt enkelt kan manipuleras av förövare som befinner sig tillräckligt nära, skriver Ars Technica.

DHS rankar sårbarheten till 9,3 på en tiogradig skala, vilket innebär att de anser att skadan för den drabbade kan bli stor, till och med dödlig, samt att det är relativt enkelt att utnyttja sårbarheten utan att förövaren behöver ha speciell expertis.

Medtronics defibrillatorer kan kontrolleras med hjälp av två externa enheter, varav den ena – Carelink Programmer – används av läkare och annan behörig vårdpersonal för att sätta upp, programmera och regelbundet övervaka defibrillatorn, och den andra – Mycarelink Monitor – används av patienten för att denne ska kunna se att defibrillatorn fungerar som den ska.

Bägge enheterna använder ett för Medtronic proprietärt radioprotokoll som heter Conexus Radio Frequency Telemetry Protocol. Det säkerhetsforskarna på Clever Security funnit i sin analys är att protokollet inte är krypterat och att det föreligger ingen autentisering mellan defibrillatorn och kontrollenheten. Det gör det enkelt för förövare inom radioavstånd att både inhämta data från defibrillatorn och även att skriva om dess inbyggda mjukvara (firmware). Dessa sårbarheten anses tämligen exceptionella inom kategorin medicinska enheter.

I ett så kallat Proof-of-concept har säkerhetsforskarna kunnat ta kontroll över defibrillatorerna på ett sätt som de anser unikt i sammanhanget. Givet att forskarna hade tillgång till någon av de externa enheterna, kunde de extrahera data från defibrillatorn, ändra på styrkan och karaktären på de elektriska chocker som defibrillatorn ska leverera i nödsituationer, och till och med helt skriva om defibrillatorns inbyggda mjukvara.

Forskarna tillägger att de, om de fortsatt sitt arbete, hade kunnat bygga sin egen externa enhet för att så fort de är i närheten av en sårbar defibrillator kunna attackera denna. Forskarna anser vidare att de åtgärder Medtronic vidtagit för att säkra defibrillatorerna inte är tillräckliga då protokollet fortfarande inte är krypterat och det finns fortfarande ingen autentisering mellan enheterna.

Medtronic lutar sig i sitt försvar mot att en förövare måste känna till specifik information och besitta vissa kunskaper för att kunna skada en specifik patient, vilket motsägs av DHS varning, men de meddelar samtidigt också att de arbetar på en uppdatering som kommer att presenteras ”senare under 2019”. Den senaste åtgärden som vidtagits av Medtronic består av ett åtta tecken långt lösenord för de externa enheternas inbyggda linux-system, ett lösenord som skyddas med en MD5-hash som säkerhetsforskarna på Clever Security knäckte på 30 sekunder.

Även i Sverige har det rapporterats om problem med inopererade defibrillatorer. Våren 2011 och hösten 2018 avled två svenska män som hade så kallade Current-dosor och elektroder som heter Durata. Båda produkterna kommer från företaget Abbott, tidigare St. Jude Medical. Istället för att rädda männens liv gick deras dosor in i ett så kallat nollställningsläge och stängde av sig, skriver SVT. De svenska fallen har dock ingen koppling till it-säkerhet.

Läs också:
Läkemedelsverket varnar för oseriösa medicinska appar
Pojke eller flicka? Det blev ett malware! Enkelt att hacka sjukvårdsutrustning