Doom spielen auf dem Medizingerät

Die Hospital Programmer, mit denen die Implantate konfiguriert oder Daten ausgelesen werden können, werden üblicherweise an die Kliniken vermietet oder geleast. Dennoch wurden die Forscher auf einer Handelsplattform fündig und konnten einen Boston Scientific Programmer für 2.000 US-Dollar erstehen.

Im Unterschied zu den Implantaten wurde hier auf Standardkomponenten gesetzt, was eine Analyse vereinfachte. So arbeitete im Inneren ein Intel Pentium aus dem Jahr 2004, auf der Festplatte fanden die Sicherheitsforscher einen Linux-Kernel aus dem Jahr 2002, obgleich die Software aus dem Jahr 2011 stammte. Entsprechend dürften sich im Linux-Kernel etliche Sicherheitslücken finden.

Durch eine kleine Änderung an einem Skript auf der Festplatte des Gerätes konnte Puschner automatisch den Windowmanager Twm starten. Über diesen konnte er per Touchscreen oder USB-Tastatur das Terminal xTerm aufrufen - als Root. Ganz ohne weitere Sicherheitslücke.

Einige Funktionen wie ein Region Lock oder der Update-Mechanismus per USB-Stick waren über einen Sicherheitsschlüssel geschützt. Diesen konnten die Sicherheitsforscher per Reverse Engineering umgehen und anschließend ein Freedos von einem USB-Stick booten und darüber Doom spielen. Ein Hindernis dabei sei es gewesen, einen USB-1.1-Stick aufzutreiben, da aufgrund der alten Hardware neuere Sticks nicht unterstützt worden seien.

Responsible Disclosure an die Hersteller

Abschließend haben sich die Forscher noch die Webserver der Medizingeräte-Hersteller angesehen, an die die Home Monitoring Units ihre Daten abliefern beziehungsweise auf denen die Ärzte auf diese Daten zugreifen. Diese habe man allerdings nur oberflächlich angeschaut, da es sich um produktive Systeme und lebenswichtige Infrastruktur handle; entsprechend habe man etwa keine SQL-Injections versucht, erklärte Puschner. Auf den ersten Blick habe alles in Ordnung ausgesehen.

Alle gefundenen Sicherheitslücken wurden vor mindestens sechs Monaten an die Hersteller gemeldet. Die Informationen seien schnell an die Security-Teams der Firmen weitergeleitet worden, mit denen es anschließend einen guten Austausch über Videokonferenzen gegeben habe, sagte Saatjohann. Alle Firmen hätten ihnen einen Job in ihrem Security-Team angeboten.

Letztlich habe man mehrere Sicherheitslücken in Geräten verschiedener Hersteller finden können, mit denen Patienten beispielsweise über die Manipulation therapierelevanter Daten hätten verletzt werden können. Mit regelmäßigen Softwareupdates und Maintenance könnten die meisten dieser Probleme behoben werden, zieht Puschner ein Fazit. Er wünsche sich, dass die Hersteller ihre Medizingeräte so sicher wie irgend möglich bauen und Kryptografie auf dem aktuellen Stand der Technik nutzen würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Herzschrittmacher: Die Sicherheitslücke am Herzen
  1.  
  2. 1
  3. 2


Knuspermaus 01. Jan 2022

Vor 9 Jahren lief dieses Szenario bei Navy CIS auf SAT1... seit dem ist dieses Szenario...

Knuspermaus 01. Jan 2022

Navy CIS Staffel 9, Folge 17, "Der schmale Grad" Deutsche ErstausstrahlungSo 09.09.2012...

Thrass 30. Dez 2021

War ist eine Mobile-2-mobile-SIM-Karte und wie schützt diese davor, dass GSM/UMTS direkt...

JouMxyzptlk 29. Dez 2021

Es gibt unzählige dieser Geräte. Die Lösung ist einfach: Kein Verbindung zum normalen...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Palantir für die militärische Zielauswahl verantwortlich

Das US-Unternehmen Palantir ist mit Software am Kriegsgeschehen in der Ukraine beteiligt. Auch die hiesige Polizei setzt Software des Unternehmens ein.

Ukrainekrieg: Palantir für die militärische Zielauswahl verantwortlich
Artikel
  1. Grüner Wasserstoff: Neues Verfahren erzeugt Wasserstoff aus Salzwasser
    Grüner Wasserstoff
    Neues Verfahren erzeugt Wasserstoff aus Salzwasser

    Wo es Sonne gibt, um Wasserstoff zu erzeugen, fehlt es oft an Süßwasser. Ein neu entwickelter Elektrolyseur kann das im Überfluss vorhandene Meerwasser verarbeiten.

  2. Streaming: Netflix streicht Funktion aus drei Abomodellen
    Streaming
    Netflix streicht Funktion aus drei Abomodellen

    Künftig gibt es 3D-Raumklang alias Spatial Audio nur noch im teuersten Netflix-Abo. Wirbel entfacht eine Filmveröffentlichung in Japan.

  3. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G5 Curved 27" WQHD 260,53€ • Graka-Preisrutsch bei Mindfactory • Samsung Galaxy S23 jetzt vorbestellbar • Philips Hue 3x E27 + Hue Bridge -57% • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ • Bis 77% Rabatt auf Fernseher • Roccat Kone Pro -56% [Werbung]
    •  /