Programmatori di pacemaker a rischio hack, Medtronic corre ai ripari

L’americana Medtronic ha inviato una lettera urgente ai loro clienti, medici e operatori sanitari, nella quale li avvisa dei rischi di sicurezza nei dispositivi usati per controllare i pacemaker. I dispositivi a rischio sono i “programmatori” Medtronic CareLink 2090 e CareLink Encore 29901.

Tali dispositivi sono usati sia durante l’installazione dei pacemaker sia nel corso dei controlli periodici, consentendo di compiere operazioni come il controllo delle batterie e la programmazione delle impostazioni dei pacemaker. La FDA ha rilasciato una dettagliata comunicazione in merito.

Va sottolineato che questa vulnerabilità colpisce solo determinati programmatori usati dai medici, non i pacemaker impiantati nei pazienti, anche se un attacco al programmatore potrebbe comunque mettere a rischio la vita dei pazienti, ad esempio programmando il pacemaker per emettere più scariche di quelle necessarie. Da notare che finora non sono stati registrati attacchi di questo tipo ai due apparati presi in esame, come ha fatto notare anche la FDA nella sua comunicazione.

Il problema riguarda la modalità con cui i programmatori si collegano a Internet per ricevere gli aggiornamenti. I ricercatori Billy Rios e Jonathan Butts hanno scoperto che i device non verificavano di essere all’interno di una comunicazione crittografata prima di scaricare i nuovi firmware, consentendo quindi a degli ipotetici attaccanti di intercettare la comunicazione e impiantare firmware malevolo nel dispositivo.

I ricercatori hanno presentato le loro scoperte alla Black Hat di quest’anno, accusando l’azienda di non aver reagito abbastanza prontamente alle prime segnalazioni avvenute nel gennaio del 2017.

Medtronic ha cercato di mitigare il problema disabilitando la funzionalità di aggiornamento dei dispositivi via Internet. L’unico modo per aggiornarli sarà attraverso un collegamento USB con un update portato direttamente da un rappresentante di Medtronic, come spiegato nella lettera dell’azienda:

” Future programmer software updates must be received directly from a Medtronic representative. “

Pochi giorni fa infine l’azienda ha rilasciato un bollettino di sicurezza che riassiume la situazione e riconosce il lavoro dei ricercatori.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.