Herzschrittmacher: Die Sicherheitslücke am Herzen

rC3

Sicherheitsforscher haben Sicherheitslücken im Ökosystem von Herz-Implantaten entdeckt. Auf einem Medizingerät konnten sie sogar Doom spielen.

Ein Bericht von veröffentlicht am
Pulsanzeige auf einem Bildschirm
Pulsanzeige auf einem Bildschirm (Bild: PublicDomainPictures/Pixabay)

Die Sicherheitsforscher Endres Puschner und Christoph Saatjohann haben die Sicherheit von Geräten rund um implantierbare Kardioverter-Defibrillatoren, Herzschrittmacher und Herzfrequenzmessgeräte angesehen und sind dabei auf etliche Sicherheitslücken gestoßen. Auf einem Programmiergerät, mit dem die entsprechenden Geräte in Kliniken eingestellt und verwaltet werden können, gelang es ihnen sogar, den Shooter-Klassiker Doom zu spielen. Das demonstrierten sie Live auf dem Hackerkongress rC3.

Inhalt:
  1. Herzschrittmacher: Die Sicherheitslücke am Herzen
  2. Doom spielen auf dem Medizingerät

Die Implantate und die zur Verwaltung notwendigen Geräte seien einerseits lebensnotwendig, andererseits würden sie jedoch auch ein besonders hohes Risiko für Bedrohungen darstellen. Immerhin würden die Implantante im Körper getragen und seien teils mit lebenswichtigen Organen gekoppelt, betont Puschner. Gleichzeitig hätten die medizinischen Geräte einen sehr langen Lebenszeitraum und entsprechend Bugs durch alte Hardware und Software.

Wie bereits erwähnt wurden nicht die Implantate selbst, sondern die Geräte zur Verwaltung beziehungsweise das Ökosystem rund um die Implantate untersucht - und etliche Sicherheitslücken gefunden. Man wolle mit der Forschung jedoch keine Panik unter den Nutzern verbreiten, sondern dafür sorgen, dass die Geräte sicherer werden, betonte Puschner. Immerhin könnten die Geräte Leben retten.

Ein Kommunikations-Environment für kardiologische Geräte

Die Implantate können, wie eingangs erwähnt, einen unterschiedlichen Funktionsumfang aufweisen und sind daher auch unterschiedlich aufgebaut. Beispielsweise braucht ein Defibrillator eine größere Batterie. Alle Geräte seien sehr für ihre Zwecke angepasst und entsprechend aufwendig und teuer zu analysieren.

Stellenmarkt
  1. Firewall Security Architekt (m/w/d)
    Radeberger Gruppe KG, Frankfurt
  2. Senior Software / Data Base Engineer (m/w/d)
    Allianz Deutschland AG, Unterföhring
Detailsuche

Gemeinsam hätten sie jedoch einen Mikrocomputer, der sich um alles im Gerät kümmere, inklusive der Kommunikation nach Außen. Diese finde per radio-frequency induction statt, die man beispielsweise von RFID kenne, erklärte Puschner. Auf diese Weise kommunizieren die Implantate einerseits mit den Hospital Programmern, welche die Kliniken beispielsweise zur Einrichtung der Geräte verwenden, andererseits übermitteln die Implantate Daten an die Home Monitoring Unit, die bei den Anwendern zu Hause steht.

Die Home Monitoring Units übertragen die Daten über GSM oder UMTS an den Hersteller, welcher die Daten dann über ein Webportal für den Arzt des Anwenders zugänglich macht. Entsprechend gebe es etliche Angriffsvektoren, sagte Puschner. So können einerseits die jeweiligen Geräte angegriffen, andererseits die übertragenen Daten abgegriffen oder manipuliert werden.

Credentials in der Firmware

Untersucht haben die Sicherheitsforscher die Home Monitoring Units von Biotronik und Medtronic. Bei dem Gerät von Biotronik konnten die Sicherheitsforscher mittels GSM-Spoofing den Traffic umleiten und mitlesen. Die Patientendaten waren zwar AES-verschlüsselt, die Authentifizierung fand allerdings unverschlüsselt statt, entsprechend konnten die Sicherheitsforscher die Login-ID und das Passwort mitlesen.

An diese kamen sie jedoch auch über die Firmware des Gerätes, die sie auslasen und anschließend mit dem Reverse-Engineering-Tool Ghidra analysierten. Das Open-Source-Tool stammt ursprünglich von der NSA. Neben den Credentials konnten sie auch die zugehörige Domain cm3-homemonitoring.de entdecken. Letztere wurde laut Biotronik jedoch nur zur Authentifizierung der Geräte genutzt - umso erstaunter sei der Hersteller gewesen, als man ihm mitteilte, dass dort auch andere Services liefen.

Bei dem Gerät von Medtronic klappte das Spoofing nicht, da eine Mobile-2-mobile-SIM-Karte verwendet wurde. Entsprechend sei keine Verbindung zum Server aufgebaut worden, die man hätte mitschneiden können. Das Gerät setze auf ein Embedded-Linux mit verschlüsseltem Dateisystem.

Das Passwort für die Verschlüsselung konnte jedoch über die UART-Schnittstelle oder direkt über EEPROM, einem Speicherbaustein auf der Hauptplatine, ausgelesen werden. Anschließend konnten sie die Firmware auslesen und verändern: so fanden sie auch hier die Adressen der Backendserver, konnten aber auch die auf dem Display des Gerätes angezeigten Informationen verändern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Doom spielen auf dem Medizingerät 
  1. 1
  2. 2
  3.  


Knuspermaus 01. Jan 2022 / Themenstart

Vor 9 Jahren lief dieses Szenario bei Navy CIS auf SAT1... seit dem ist dieses Szenario...

Knuspermaus 01. Jan 2022 / Themenstart

Navy CIS Staffel 9, Folge 17, "Der schmale Grad" Deutsche ErstausstrahlungSo 09.09.2012...

Thrass 30. Dez 2021 / Themenstart

War ist eine Mobile-2-mobile-SIM-Karte und wie schützt diese davor, dass GSM/UMTS direkt...

JouMxyzptlk 29. Dez 2021 / Themenstart

Es gibt unzählige dieser Geräte. Die Lösung ist einfach: Kein Verbindung zum normalen...

anonymous_bosch 29. Dez 2021 / Themenstart

... man habe die Seite NICHT auf SQLi untersucht ist schon ganz schön fragwürdig...

Kommentieren



Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer Entwickler will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Deutsche Telekom: iPads für mehr als 400.000 Schüler in Rheinland-Pfalz
    Deutsche Telekom
    iPads für mehr als 400.000 Schüler in Rheinland-Pfalz

    Rheinland-Pfalz beschafft iPads für 1.660 Schulen. Die Ausschreibung hat die Deutsche Telekom gewonnen. Auch Notebooks gibt es.

  2. Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
    Bundesservice Telekommunikation  
    Ist eine scheinexistente Behörde für Wikipedia relevant?

    Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

  3. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. GTX 1660 6GB 499€) • G.Skill Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.499€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ [Werbung]
    •  /