Notebookcheck
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben

Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Auf der IT-Sicherheitskonferenz Black Hat haben zwei Hacker demonstriert, dass die Produkte eines Herstellers von Herzschrittmachern und Insulinpumpen eklatante Sicherheitslücken aufweisen. Die Kommunikation mit dem Hersteller Medtronic sei eine Katastrophe gewesen, dieser rede das Problem klein und wolle nichts unternehmen, so die beiden.
Christian Hintze,
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

Auf der Black Hat in Las Vegas berichteten zwei Sicherheitsforscher darüber wie sie versucht haben, einen Hersteller von Herzschrittmachern und Insulinpumpen auf krasse Sicherheitslücken in dessen Produkten aufmerksam zu machen. Die Lücken führen im schlimmsten Fall zum Tode der Patienten, da die Geräte nahezu beliebig manipulierbar sind. Statt zu reagieren redete die Firma Medtronic das Problem klein und sieht keinen Handlungsbedarf. Bereits vor 18 Monaten haben die Forscher Medtronic über die Mängel informiert.

Daher machten die Forscher die Probleme nun öffentlich. Eine Lücke erlaubt beispielsweise die Installation einer modifizierten Firmware, welche die Kontrolle über die Herzschrittmacher der Firma möglich macht. Für Firmware-Updates wird ein VPN-Tunnel aufgebaut. Das Problem: Benutzername und Passwort für die VPN-Einwahl sind auf den Programmern hinterlegt, die Updates weisen keine digitale Signatur auf und außerdem werden die Daten auch noch unverschlüsselt via HTTP verschickt.

Auf der Bühne der Black Hat zeigten die zwei Forscher dann live, wie der VPN-Tunnel für das Update auf ein Notebook umgeleitet werden konnte, die Anmeldedaten ließen sich aus dem Arbeitsspeicher auslesen, mangels Signatur bemerkte das Gerät auch nicht, dass die anschließend manipulierte Software von einem anderen Gerät stammte.

Durch einen weiteren Bug in der Update-Software konnten die Forscher beliebige Daten vom Medtronic-Server herunterladen. Aber selbst acht Monate nachdem Medtronic die Probleme bekannt waren, hatte der Hersteller für Medizintechnik noch nicht einmal Anstrengungen unternommen das Problem zu replizieren. Stattdessen hätten sie das Problem klein geredet.

Bei den Insulinpumpen des Herstellers lief es ähnlich. Mittels einer Hacker-Software schickten die Forscher kabellos per Funkverbindung Kommandos an eine Insulinpumpe in der Nähe und konnten dadurch beliebige Dosen an Insulin verabreichen, oder die Insulinabgabe komplett stoppen. Eine Manipulation, die vermutlich ebenfalls zum Tode der Patienten führt. Auch hier zeigte Medtronic keine Handlungsbereitschaft.

Quelle(n)

, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 
Alle 1 Beträge lesen / Antworten
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Christian Hintze
Christian Hintze - Managing Editor - 1617 Artikel auf Notebookcheck veröffentlicht seit 2016
Ein C64 markierte meinen Einstieg in die Welt der PCs. Mein Schülerpraktikum verbrachte ich in der Reparaturabteilung eines Computerladens, zum Abschluss durfte ich mir aus “Werkstattresten” einen 486er PC selbst zusammenbauen. Folglich begann ich später ein Informatikstudium an der Humboldt-Uni in Berlin, Psychologie kam hinzu. Nach meiner ersten Arbeit als wissenschaftlicher Mitarbeiter an der Uni ging ich für ein Jahr nach London und arbeitete für Sega an der Qualitätssicherung von Computerspielübersetzungen, u.a. an Spielen wie Sonic & All-Stars Racing Transformed oder Company of Heroes. Seit 2017 schreibe ich für Notebookcheck.
Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2018-08 > Herzschrittmacher-Hersteller hat kein Interesse daran drastische Sicherheitslücken zu beheben
Autor: Christian Hintze, 10.08.2018 (Update: 10.08.2018)