Такую возможность продемонстрировали эксперты по кибербезопасности Джонатан Баттс и Билли Риос. Взлом произошел в Лас-Вегасе перед посетителями конференции Black Hat.
Исследователи сообщили, что обнаружили уязвимость ещё в январе 2018 года. Кардиостимуляторы компании Medtronic обновляют программное обеспечение по незащищенному протоколу. Сами данные также верифицируются цифровой подписью. Баттс и Риос отправили производителям устройств письмо с указанием опасной недоработки в сфере безопасности. Однако в Medtronic мер не приняли.
Тогда специалисты подготовились и продемонстрировали угрозу публично. Они удаленно загрузили на кардиостимулятор вирус, который незаметно предоставлял постороннему человеку доступ к основными функциями. Таким образом хакеры могут изменять частоту сокращений или вовсе остановить сердце носителя.
Эксперты обратили внимание, что уязвимость актуальна и для других устройств от Medtronic. Через простой радиопередатчик они захватили контроль над аппаратом для инсулиновых инъекций и количеством вводимого лекарства. Программисты подчеркнули, что контролирующий врач не сможет заметить взлом.
Журналисты издания Ars Technicа связались с сотрудниками Medtronic, которые прокомментировали доводы докладчиков. Захват инсулиновых помп можно выполнить лишь на старой версии и при непосредственном вмешательстве в настройки аппарата. Представители компании заявили, что система контроля их техники способна преодолеть и другие упомянутые уязвимости.
