Разработчики: | Medtronic (Медтроник) |
Отрасли: | Фармацевтика, медицина, здравоохранение |
Содержание |
MyCareLink Patient Monitor — линейка устройств для удаленного мониторинга состояния пациентов.
Благодаря специальному монитору MyCareLink пациенты могут самостоятельно, не дожидаясь очереди к врачу, передать данные со своего прибора для просмотра и анализа диагностических данных медицинским специалистам.
Такая схема работы экономит время как пациенту, так и врачу, позволяя своевременно выявлять ситуации, требующие медицинского вмешательства, и оказывать помощь тем, кто в ней действительно нуждается. При этом обеспечивается регулярное наблюдение за пациентами и сокращаются очереди.
2020: Обнаружение уязвимостей, связанных с монитором пациентов
В начале декабря 2020 года Министерство внутренней безопасности США предупредило о киберуязвимостях, связанных с монитором пациентов MyCareLink производства Medtronic. Стало известно, что хакеры могут легко взломать эти устройства и изменить считываемые данные, тем самым навредив пациенту.
Согласно отчету, аппарат для мониторинга пациентов MyCareLink (MCL) Smart Model 25000 компании Medtronic потенциально уязвим из-за ошибок аутентификации, выраженного переполнения буфера и развития «гонки» между временем проверки/временем использования. Если злоумышленник воспользуется выявленными уязвимостями, то сможет модифицировать или создавать с нуля данные, обычно поступающие с имплантированного сердечного устройства из сети CareLink. Кроме того, хакер сможет удаленно активировать любой код на интеллектуальном устройстве мониторинга MCL, что позволит ему непосредственно управлять спаренным сердечным устройством.
Уязвимостью можно воспользоваться только при работе в непосредственной близости от устройства через Bluetooth. Medtronic пока не выявляла подобные кибератаки и не слышала о нарушениях конфиденциальности в связи с подобными случаями. Компания уже разработала обновление микропрограммного обеспечения для устранения уязвимостей, которое установится при обновлении приложения MyCareLink. Однако для применения исправлений смартфон пользователя должен быть обновлен до iOS10 и выше или до Android 6.0 и выше.
Кроме того, Medtronic внедрила средства контроля мониторинга и реагирования на ненадлежащее использование интеллектуального устройства. Тем не менее компания рекомендует пользователям не допускать посторонних к домашним мониторам, использовать только домашние мониторы, полученные непосредственно от лечащего врача или представителя Medtronic, а также обновить операционную систему смартфона до последней доступной версии.[1]
2018: Опасные уязвимости в моделях MyCareLink 24950 и 24952
8 августа 2018 года стало известно о том, что в медицинском оборудовании Medtronic MyCareLink Patient Monitor, предназначенном для мониторинга состояния пациентов, обнаружены две опасные уязвимости. Их эксплуатация может позволить злоумышленнику с физическим доступом получить учетные данные, использующиеся для аутентификации загрузки и шифрования данных на всех устройствах. Заполучив данные, хакер сможет загружать некорректную информацию в сеть Medtronic CareLink.
Первая уязвимость CVE-2018-10626 связана с некорректной проверкой данных аутентификации. Служба обновления устройства Medtronic некорректно проверяет подлинность загруженных данных, позволяя злоумышленнику загружать произвольную информацию в сеть Medtronic CareLink.
Вторая уязвимость CVE-2018-10622 проявляется в возможности хранения пароля в восстанавливаемом формате. Проэксплуатировав данную уязвимость, злоумышленник может аутентифицироваться в сети для шифрования локальных данных.
Как сообщается, уязвимости затрагивают все модели Medtronic MyCareLink 24950 и Medtronic MyCareLink 24952. По данным на 8 августа компания-производитель уже выпустила соответствующие исправления.[2]