Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Auf der Black Hat in Las Vegas berichteten zwei Sicherheitsforscher darüber wie sie versucht haben, einen Hersteller von Herzschrittmachern und Insulinpumpen auf krasse Sicherheitslücken in dessen Produkten aufmerksam zu machen. Die Lücken führen im schlimmsten Fall zum Tode der Patienten, da die Geräte nahezu beliebig manipulierbar sind. Statt zu reagieren redete die Firma Medtronic das Problem klein und sieht keinen Handlungsbedarf. Bereits vor 18 Monaten haben die Forscher Medtronic über die Mängel informiert.
Daher machten die Forscher die Probleme nun öffentlich. Eine Lücke erlaubt beispielsweise die Installation einer modifizierten Firmware, welche die Kontrolle über die Herzschrittmacher der Firma möglich macht. Für Firmware-Updates wird ein VPN-Tunnel aufgebaut. Das Problem: Benutzername und Passwort für die VPN-Einwahl sind auf den Programmern hinterlegt, die Updates weisen keine digitale Signatur auf und außerdem werden die Daten auch noch unverschlüsselt via HTTP verschickt.
Auf der Bühne der Black Hat zeigten die zwei Forscher dann live, wie der VPN-Tunnel für das Update auf ein Notebook umgeleitet werden konnte, die Anmeldedaten ließen sich aus dem Arbeitsspeicher auslesen, mangels Signatur bemerkte das Gerät auch nicht, dass die anschließend manipulierte Software von einem anderen Gerät stammte.
Durch einen weiteren Bug in der Update-Software konnten die Forscher beliebige Daten vom Medtronic-Server herunterladen. Aber selbst acht Monate nachdem Medtronic die Probleme bekannt waren, hatte der Hersteller für Medizintechnik noch nicht einmal Anstrengungen unternommen das Problem zu replizieren. Stattdessen hätten sie das Problem klein geredet.
Bei den Insulinpumpen des Herstellers lief es ähnlich. Mittels einer Hacker-Software schickten die Forscher kabellos per Funkverbindung Kommandos an eine Insulinpumpe in der Nähe und konnten dadurch beliebige Dosen an Insulin verabreichen, oder die Insulinabgabe komplett stoppen. Eine Manipulation, die vermutlich ebenfalls zum Tode der Patienten führt. Auch hier zeigte Medtronic keine Handlungsbereitschaft.