Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben

Auf der IT-Sicherheitskonferenz Black Hat haben zwei Hacker demonstriert, dass die Produkte eines Herstellers von Herzschrittmachern und Insulinpumpen eklatante Sicherheitslücken aufweisen. Die Kommunikation mit dem Hersteller Medtronic sei eine Katastrophe gewesen, dieser rede das Problem klein und wolle nichts unternehmen, so die beiden.

Christian Hintze, Veröffentlicht am 10.08.2018

Security

Auf der Black Hat in Las Vegas berichteten zwei Sicherheitsforscher darüber wie sie versucht haben, einen Hersteller von Herzschrittmachern und Insulinpumpen auf krasse Sicherheitslücken in dessen Produkten aufmerksam zu machen. Die Lücken führen im schlimmsten Fall zum Tode der Patienten, da die Geräte nahezu beliebig manipulierbar sind. Statt zu reagieren redete die Firma Medtronic das Problem klein und sieht keinen Handlungsbedarf. Bereits vor 18 Monaten haben die Forscher Medtronic über die Mängel informiert.

Daher machten die Forscher die Probleme nun öffentlich. Eine Lücke erlaubt beispielsweise die Installation einer modifizierten Firmware, welche die Kontrolle über die Herzschrittmacher der Firma möglich macht. Für Firmware-Updates wird ein VPN-Tunnel aufgebaut. Das Problem: Benutzername und Passwort für die VPN-Einwahl sind auf den Programmern hinterlegt, die Updates weisen keine digitale Signatur auf und außerdem werden die Daten auch noch unverschlüsselt via HTTP verschickt.

Auf der Bühne der Black Hat zeigten die zwei Forscher dann live, wie der VPN-Tunnel für das Update auf ein Notebook umgeleitet werden konnte, die Anmeldedaten ließen sich aus dem Arbeitsspeicher auslesen, mangels Signatur bemerkte das Gerät auch nicht, dass die anschließend manipulierte Software von einem anderen Gerät stammte.

Durch einen weiteren Bug in der Update-Software konnten die Forscher beliebige Daten vom Medtronic-Server herunterladen. Aber selbst acht Monate nachdem Medtronic die Probleme bekannt waren, hatte der Hersteller für Medizintechnik noch nicht einmal Anstrengungen unternommen das Problem zu replizieren. Stattdessen hätten sie das Problem klein geredet.

Bei den Insulinpumpen des Herstellers lief es ähnlich. Mittels einer Hacker-Software schickten die Forscher kabellos per Funkverbindung Kommandos an eine Insulinpumpe in der Nähe und konnten dadurch beliebige Dosen an Insulin verabreichen, oder die Insulinabgabe komplett stoppen. Eine Manipulation, die vermutlich ebenfalls zum Tode der Patienten führt. Auch hier zeigte Medtronic keine Handlungsbereitschaft.

Quelle(n)

Heise

Verwandte Artikel

USA verklagt Bundesstaat Kalifornien wegen eigenem Gesetz zur Netzneutralität 01.10.2018

Kaltstartattacken, auch Cold-Boot-Attacken genannt, ermöglichen den Zugriff auf im RAM abgelegte Daten, wenn das betreffende Gerät nicht ordnungsgemäß heruntergefahren wurde.

Cold Boot: Sicherheitslücke betrifft fast alle Notebooks 14.09.2018

Security: Beliebte Mac-Software spioniert Nutzer aus, Apple reagierte sehr spät 10.09.2018

US-Wahlautomat in 2 Minuten gehackt 13.08.2018

Security: Fälschen von Patientendaten für Hacker nach wie vor extrem einfach 13.08.2018

Sicherheitslücken: Cortana als simples Einfallstor für Hacker 10.08.2018

BSI: Kostenloser Online-Kurs zu IT-Sicherheit; Quelle: BSI

BSI: Kostenloser Online-Kurs zu IT-Sicherheit 09.08.2018

Surface Pro 3 bekommt ein neues Sicherheitsupdate

Microsoft Surface Pro 3 erhält ein neues Sicherheitsupdate 08.08.2018

Sicherheit: Jeder vierte Router ist anfällig für Angriffe (Symbolfoto)

Sicherheit: Jeder vierte Router ist anfällig für Angriffe 20.07.2018

Security: Malware mit gültigen D-Link-Zertifikat im Umlauf 10.07.2018

Security: VLC Media Player ist angreifbar 09.07.2018

Hackerangriff: DomainFactory bestätigt Sicherheitslücke nun doch, sensible Kundendaten gestohlen (Symbolfoto)

Hackerangriff: DomainFactory bestätigt Sicherheitslücke nun doch, sensible Kundendaten gestohlen 08.07.2018

Security: Browser-Erweiterung spioniert Nutzer aus (Symbolfoto)

Security: Browser-Erweiterung spioniert Nutzer aus 07.07.2018

Security: Passwörter lassen sich durch Fingerwärme ausspionieren (Symbolfoto)

Security: Passwörter lassen sich durch Fingerwärme ausspionieren 06.07.2018

Security: Google-Geräte verraten Standort 19.06.2018

Alle 1 Beträge lesen / Antworten

Loading Comments

Diesen Artikel kommentieren / Antworten

Smartphone löst Fotokamera als Urla...

Lenovo Yoga C930: Erste Specs des Y...

Christian Hintze - Managing Editor - 1983 Artikel auf Notebookcheck veröffentlicht seit 2016

Ein C64 markierte meinen Einstieg in die Welt der PCs. Mein Schülerpraktikum verbrachte ich in der Reparaturabteilung eines Computerladens, zum Abschluss durfte ich mir aus “Werkstattresten” einen 486er PC selbst zusammenbauen. Folglich begann ich später ein Informatikstudium an der Humboldt-Uni in Berlin, Psychologie kam hinzu. Nach meiner ersten Arbeit als wissenschaftlicher Mitarbeiter an der Uni ging ich für ein Jahr nach London und arbeitete für Sega an der Qualitätssicherung von Computerspielübersetzungen, u.a. an Spielen wie Sonic & All-Stars Racing Transformed oder Company of Heroes. Seit 2017 schreibe ich für Notebookcheck.

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2018-08 > Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben

Autor: Christian Hintze, 10.08.2018 (Update: 10.08.2018)