Implantes cardíacos Medtronic podem ser facilmente hackeados a 6 metros de distância

O governo dos EUA emitiu um alerta sobre uma falha crítica que afeta dezenas de desfibriladores cardíacos da Medtronic que permitem que um invasor próximo altere as configurações do dispositivo cardíaco de um paciente, manipulando as comunicações de rádio entre ele e os dispositivos de controle. 

O principal problema está no protocolo de telemetria sem fio de radiofrequência Conexus da Medtronic, que é usado como parte de seu sistema de gerenciamento remoto de pacientes para comunicação entre desfibriladores, dispositivos de monitoramento doméstico e dispositivos de programação clínica.  

Os pesquisadores descobriram que o protocolo Conexus não possui nenhuma forma de autenticação, o que significa que um invasor dentro do alcance do rádio – cerca de 6 metros do dispositivo cardíaco do paciente – pode injetar, reproduzir, modificar e interceptar os dados de telemetria.

E como o protocolo Conexus permite que os dispositivos de controle leiam e gravem remotamente a memória para os implantes cardíacos, um invasor próximo com um rádio definido por software também pode explorar a falta de autenticação do protocolo para reprogramar o dispositivo cardíaco.

A falha, CVE-2019-6538, foi atribuída uma classificação de gravidade CVSS de 9,3 de um máximo de 10, de acordo com o Departamento de Segurança Interna (DHS) consultivo .  

A Food and Drug Administration dos EUA diz que “confirmou que essas vulnerabilidades, se exploradas, podem permitir que um indivíduo não autorizado (por exemplo, alguém que não seja o médico do paciente) acesse e manipule potencialmente um dispositivo implantável, um monitor doméstico ou um programa clínico. “

Uma segunda falha, de gravidade mais baixa, que afeta o protocolo Conexus, representa uma ameaça à privacidade potencialmente grave para os pacientes, uma vez que os dados transmitidos entre os dispositivos cardíacos e de controle são feitos de forma clara. Novamente, um atacante próximo com equipamento de rádio pode interceptar as comunicações para aprender sobre a condição específica da pessoa.  

A Medtronic enfatiza em seu parecer que a telemetria Conexus não é usada em seus marcapassos.

Enquanto a recomendação do DHS diz que a falha exige um “baixo nível de habilidade” para explorar, existem alguns fatores atenuantes que devem criar uma janela estreita para um atacante explorar as falhas.

Primeiro, o dispositivo cardíaco precisa ter as comunicações por rádio ativadas. Isso acontece na clínica antes do procedimento de implante e durante as visitas de acompanhamento. Fora da clínica, a Medtronic diz que os tempos de ativação do rádio são “limitados, variam de acordo com o paciente e são difíceis de serem previstos”. 

A FDA considera que esses são “recursos de segurança”, mas observa que a Medtronic está trabalhando em um patch que a FDA precisará aprovar para resolver os pontos fracos de autenticação e criptografia. 

Apesar da gravidade da falha de autenticação e do potencial de danos que ameaçam a vida, a Medtronic e a FDA  estão recomendando que os pacientes continuem a usar os dispositivos conforme prescrito. 

“Os benefícios do monitoramento remoto superam o risco prático de que essas vulnerabilidades possam ser exploradas. Esses benefícios incluem a detecção precoce de arritmias, menos visitas a hospitais e melhores taxas de sobrevida”, diz a Medtronic.