Устройство за кардиограф Philips. Абсолютно медицинско оборудване
Philips е известен с производството на висококачествени и ефективни кардиографски устройства PageWriter. След неотдавнашното откриване на уязвимости в киберсигурността в неговите устройства, които позволяват на нападателите да променят настройките на устройствата, за да повлияят на диагнозата, Philips заяви, че в ICS-CERT консултативен че не възнамерява да проучи тези уязвимости до лятото на 2019 г.
Кардиографските устройства Philips PageWriter приемат сигнали чрез сензори, прикрепени към тялото, и използват тези данни, за да създадат ЕКГ модели и диаграми, с които след това лекарят може да се консултира, за да сключи диагноза. Този процес не трябва да има намеса сам по себе си, за да осигури целостта на направените измервания и изобразените графики, но изглежда, че манипулаторите могат да влияят на тези данни ръчно.
Уязвимостите съществуват в моделите PageWriter на Philips TC10, TC20, TC30, TC50 и TC70. Уязвимостите произтичат от факта, че въведената информация може да бъде въведена ръчно и кодирана твърдо в интерфейса, което води до неправилно въвеждане, тъй като системата на устройството не проверява или филтрира нито една от въведените данни. Това означава, че резултатите от устройството са пряко свързани с това, което потребителите влагат в тях ръчно, което позволява неправилна и неефективна диагностика. Липсата на дезинфекция на данни допринася пряко за възможността за препълване на буфера и уязвимости на низовете на форматирането.
В допълнение към тази възможност за експлоатация на грешка в данните, възможността за твърдо кодиране на данни в интерфейса се поддава и на твърдото кодиране на идентификационни данни. Това означава, че всеки нападател, който знае паролата на устройството и го има физически под ръка, може да променя настройките на устройството, причинявайки неправилна диагностика с помощта на устройството.
Въпреки решението на компанията да не разглежда тези уязвимости до лятото на следващата година, публикуваното съобщение предлага няколко съвета за смекчаване на тези уязвимости. Основните насоки за това се въртят около физическата сигурност на устройството: гарантиране, че злонамерените нападатели не могат физически да имат достъп или да манипулират устройството. В допълнение към това, клиниките се съветват да инициират защита на компонентите в своите системи, като ограничават и регулират достъпа на устройствата.
