Notebookcheck Logo

Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben

Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Auf der IT-Sicherheitskonferenz Black Hat haben zwei Hacker demonstriert, dass die Produkte eines Herstellers von Herzschrittmachern und Insulinpumpen eklatante Sicherheitslücken aufweisen. Die Kommunikation mit dem Hersteller Medtronic sei eine Katastrophe gewesen, dieser rede das Problem klein und wolle nichts unternehmen, so die beiden.

Auf der Black Hat in Las Vegas berichteten zwei Sicherheitsforscher darüber wie sie versucht haben, einen Hersteller von Herzschrittmachern und Insulinpumpen auf krasse Sicherheitslücken in dessen Produkten aufmerksam zu machen. Die Lücken führen im schlimmsten Fall zum Tode der Patienten, da die Geräte nahezu beliebig manipulierbar sind. Statt zu reagieren redete die Firma Medtronic das Problem klein und sieht keinen Handlungsbedarf. Bereits vor 18 Monaten haben die Forscher Medtronic über die Mängel informiert.

Daher machten die Forscher die Probleme nun öffentlich. Eine Lücke erlaubt beispielsweise die Installation einer modifizierten Firmware, welche die Kontrolle über die Herzschrittmacher der Firma möglich macht. Für Firmware-Updates wird ein VPN-Tunnel aufgebaut. Das Problem: Benutzername und Passwort für die VPN-Einwahl sind auf den Programmern hinterlegt, die Updates weisen keine digitale Signatur auf und außerdem werden die Daten auch noch unverschlüsselt via HTTP verschickt.

Auf der Bühne der Black Hat zeigten die zwei Forscher dann live, wie der VPN-Tunnel für das Update auf ein Notebook umgeleitet werden konnte, die Anmeldedaten ließen sich aus dem Arbeitsspeicher auslesen, mangels Signatur bemerkte das Gerät auch nicht, dass die anschließend manipulierte Software von einem anderen Gerät stammte.

Durch einen weiteren Bug in der Update-Software konnten die Forscher beliebige Daten vom Medtronic-Server herunterladen. Aber selbst acht Monate nachdem Medtronic die Probleme bekannt waren, hatte der Hersteller für Medizintechnik noch nicht einmal Anstrengungen unternommen das Problem zu replizieren. Stattdessen hätten sie das Problem klein geredet.

Bei den Insulinpumpen des Herstellers lief es ähnlich. Mittels einer Hacker-Software schickten die Forscher kabellos per Funkverbindung Kommandos an eine Insulinpumpe in der Nähe und konnten dadurch beliebige Dosen an Insulin verabreichen, oder die Insulinabgabe komplett stoppen. Eine Manipulation, die vermutlich ebenfalls zum Tode der Patienten führt. Auch hier zeigte Medtronic keine Handlungsbereitschaft.

Quelle(n)

Alle 1 Beträge lesen / Antworten
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2018-08 > Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Autor: Christian Hintze, 10.08.2018 (Update: 10.08.2018)