St. Jude Medical verhelpt beveiligingsproblemen met pacemakers en defibrillators

hartslag-hart-freeimages-wolf-friedmann

St. Jude Medical, fabrikant van onder andere pacemakers, brengt een aantal beveiligingsupdates uit voor het Merlin monitoringssysteem. Dit systeem wordt gebruikt om implanteerbare pacemakers en defibrillators op afstand te kunnen monitoren. De updates dichten een aantal beveiligingsgaten in dit monitoringssysteem die het mogelijk maken pacemakers en defibrillators te manipuleren.

Het gaat om beveiligingsproblemen die in augustus 2016 openbaar werden gemaakt door beveiligingsbedrijf MedSec in samenwerking met investeringsmaatschappij Muddy Waters. Na vier maanden komt het bedrijf nu dus met een update die de problemen verhelpt. Het gaat om ernstige problemen die aanvallers de mogelijkheid geven pacemakers van het systeem te manipuleren. Hierdoor kunnen zij in theorie het apparaat uitschakelen, de batterij versneld leeg laten lopen of zelfs de hartslag van een patiënt verhogen.

Merlin@home apparaten

Het probleem zit in de communicatie tussen pacemakers en de Merlin@home apparaten die worden gebruikt om deze pacemakers op afstand te monitoren. De communicatie tussen deze apparaten is volgens MedSec en Muddy Waters niet versleuteld. Daarnaast wordt geen authentificatie toegepast. Dit betekent in de praktijk dat een aanvaller die een Merlin@home apparaat in handen weet te krijgen pacemakers van nietsvermoedende gebruikers kan manipuleren. Dit apparaat is via internet relatief eenvoudig aan te schaffen. De updates die St. Jude Medical nu beschikbaar stelt verhelpen de problemen.

De werkwijze van MedSec en Muddy Waters is overigens niet onomstreden. De partijen hebben het nieuws naar buiten gebracht zonder St. Jude Medical hier vooraf over te informeren. Hierdoor hebben de organisaties de fabrikant geen gelegenheid gegeven het probleem op te lossen voordat hierover gepubliceerd werd, waardoor gebruikers van pacemakers onnodig risico hebben gelopen.

Rechtszaak

Na publicatie van het rapport is St. Jude Medical overigens in de tegenaanval gegaan. Zo ontkende het bedrijf dat er beveiligingsproblemen aanwezig zijn in de producten. Daarnaast spande het bedrijf een rechtszaak aan tegen MedSec en Muddy Waters, waarin het stelde dat deze bedrijven doelbewust valse informatie naar buiten hebben gebracht in een poging de koers van het aandeel St. Jude Medical te manipuleren. Door zelf short te gaan op deze aandelen zouden MedSec en Muddy Waters zelf financiële winst hebben willen halen uit de situatie.

De update die nu naar buiten is gebracht is door de Amerikaanse Food and Drug Administration (FDA) onderzocht om zeker te stellen dat de belangrijkste beveiligingsproblemen hierin worden aangepakt.