Nehéz szavakat találni a WhiteScope pacemakerekről készült jelentését olvasgatva, amiben olyan megállapításokat tesznek, hogy az egészséges ember is a szívéhez kap.

8600 sebezhetőséget találtak a négy gyártó hét különböző termékét vizsgálva.  Az igazsághoz hozzátartozik, hogy a problémák egy része nem magukban az eszközökben, hanem a hozzájuk tartozó kiegészítőkben bukkant fel. Ez nem mentesíti a gyártókat a felelősség alól, amikor a betegek élete a tét. A kutatás a rádióvezérlésű, beültethető eszközökre fókuszált, így a pacemakerek mellett kiterjedt az automatikus defibrillátorok, pulzusgenerátorok, szívritmus szabályozó szoftverek területére is.

Durva számok (forrás: WhiteScope) [+]

A megoldások hasonlóképpen működnek minden vizsgált esetben, tehát van egy beültetett egység, egy otthoni monitoring eszköz felhőalapú rendszerhez kapcsolódva, ez továbbítja az adatokat a pacemaker programozóegységének és az orvosnak. A doktor távolról módosítani képes az implantátum beállításait.

A pacemakerek mind a négy vizsgált gyártónál tartalmaznak harmadik féltől származó kódot, ami önmagában még nem feltétlenül baj, az viszont annál inkább, hogy ezek közül a komponensek közül több is sebezhető. Legalább 10, de az egyik gyártónál 74 összetevő tartalmaz ismert hibákat. A harmadik felek kódjaiban mindenhol találtak hibát, legjobb esetben is 642 (!) ismert sebezhetőséggel, de volt, ahol 3715 problémát regisztráltak.

A rendszer nem csak a beültett egységből áll (forrás: WhiteScope)

Olyan alapvető hibákat találtak, mint például a hitelesítés hiánya: az azonos gyártótól származó programozóegység és a beültetett pacemaker nem azonosítja egymást, azaz ha valakinek sikerül elég közel jutnia, képes lehet átprogramozni az életmentő berendezést.

Elég komoly gondot jelent az is, hogy az orvosnál lévő programozó az egészségügyi dolgozótól sem vár el azonosítást, ha ellopják, már használhatják is. Az már csak hab a tortán, hogy a vizsgált rendszerek egyszerű szövegként tárolják az adatokat egy pendrive-on, teret engedve a rosszindulatú támadásoknak. Persze ehhez is hozzá kell férni.

Az, hogy a gyógyászati segédeszközök sebezhetők, nem újdonság. Évek óta készülnek hasonló jelentések, az engedélyezési hivatalok is tudnak róla, de úgy tűnik, a gyártók egyelőre nem tanulták meg a leckét. Nem a saját bőrüket viszik vásárra.