Ernstige kwetsbaarheden ontdekt in pacemakers
Pacemakers van het bedrijf St. Jude Medical blijken ernstige beveiligingsproblemen te bevatten. Aanvallers kunnen de pacemakers van het bedrijf manipuleren om de hartslag te verhogen, het apparaat uit te schakelen of de batterij leeg te laten lopen.
Dit melden het beveiligingsbedrijf MedSec en de investeringsmaatschappij Muddy Waters in een onderzoeksrapport (pdf). St. Jude Medical produceert pacemakers die kunnen worden aangestuurd met behulp van Merlin@home apparaten. Hierbij blijkt echter veel fout te gaan. Zo zou de communicatie tussen de pacemaker en de Merlin@home apparaten niet worden versleuteld en wordt geen authentificatie toegepast. Dit betekent in de praktijk dat iedere aanvaller die een Merlin@home apparaat weet te bemachtigen pacemakers van nietsvermoedende patiënten kan bedienen. Dit apparaat is voor 35 dollar te koop op eBay.
Controversiële aanpak
MedSec en Muddy Waters hanteren bij het openbaar maken van de beveiligingsproblemen een controversiële tactiek. Doorgaans stellen beveiligingsonderzoekers die ernstige problemen vinden in een product eerst de fabrikant op de hoogte van dit probleem. De fabrikant krijgt hierdoor de mogelijk de problemen op te lossen voordat deze openbaar wordt gemaakt, zodat getroffen gebruikers een manier hebben om zich tegen aanvallen te wapenen.
Het beveiligingsbedrijf en de investeringsmaatschappij hebben er echter voor gekozen St. Jude Medical niet vooraf te informeren over de problemen, maar deze direct openbaar te maken. De bedrijven stellen dat St. Jude Medical al sinds 2013 op de hoogte is van de problemen, maar geen actie heeft ondernomen om deze op te lossen. Daarnaast zou de veiligheid van de producten van het bedrijf ernstig te wensen overlaten.
Financieel motief
Persbureau Bloomberg wijst echter ook op een financieel motief om de problemen direct openbaar te maken. Zo zou Muddy Waters ‘short’ zijn gegaan op de aandelen van St. Jude Medical. Hierbij handelt de investeringsmaatschappij in aandelen in het bedrijf, voordat deze aandelen daadwerkelijk eigendom zijn van het bedrijf. Door het nieuws over de beveiligingsproblemen naar buiten te brengen hoopt de investeringsmaatschappij dat de aandelenkoers van St. Jude Medical daalt, waardoor het bedrijf de aandelen goedkoop kan aanschaffen en met winst kan doorverkopen. De winst die hierbij wordt gemaakt deelt Muddy Waters met het beveiligingsbedrijf MedSec.
De aanpak van de bedrijven levert forse risico’s op voor gebruikers van de pacemakers. Zo is er op dit moment geen oplossing beschikbaar om de beveiligingsgaten te dichten. Dit betekent dat honderdduizenden gebruikers van de pacemakers wereldwijd het risico lopen dat hun pacemaker door aanvallers wordt gemanipuleerd, zonder dat zij zich hier tegen kunnen verdedigen.
Meer over
Lees ook
Qualys voegt External Attack Surface Management (EASM) toe aan het Qualys Cloud Platform
Qualys, Inc. een pionier en marktleider op het gebied van cloudgebaseerde compliance-, beveiligings- en IT-oplossingen, kondigt vandaag aan dat het External Attack Surface Management (EASM)-mogelijkheden toevoegt aan het Qualys Cloud Platform. De nieuwe functionaliteit, die is geïntegreerd in CyberSecurity Asset Management 2.0, voegt een weergave1
Staatsgeheim - boek van Maarten Oberman
Intro: Veertig jaar geleden kreeg ik van mijn vader de documentatie van het eerste naoorlogse crypto-apparaat. Hij had dat systeem in de jaren 1947 – 1949 gemaakt. De documentatie van dat systeem heb ik jarenlang bewaard, omdat hij had aangegeven dat het later erg interessant zou zijn. Het was indertijd Staatsgeheim en daardoor was er nooit over g1
Een veilige omgeving door een alarmsysteem met meldkamer
In december 2021 stond het aantal geregistreerde inbraken op ruim 59.500. In de afgelopen jaren heeft het aantal inbraken grote schommelingen meegemaakt, maar het gemiddelde aantal inbraken is over de gehele periode van 2016 tot 2021 wél gedaald. De categorie waar de grootste afname in inbraken op te merken was, is woninginbraak.