Philips kardiografenhed. Absolut medicinsk udstyr
Philips er kendt for at producere avancerede og effektive PageWriter Cardiograph-enheder. Efter den nylige opdagelse af cybersikkerhedssårbarheder i dets enheder, der gør det muligt for angribere at ændre enhedernes indstillinger for at påvirke diagnosen, er Philips kommet frem og siger i en ICS-CERT rådgivende at den ikke har til hensigt at undersøge disse sårbarheder før sommeren 2019.
Philips PageWriter Cardiograph-enheder optager signaler gennem sensorer, der er fastgjort til kroppen og bruger disse data til at skabe EKG-mønstre og diagrammer, som lægen derefter er i stand til at konsultere for at afslutte en diagnose. Denne proces bør ikke have nogen indblanding i sig selv for at sikre integriteten af de målte målinger og afbildede grafer, men det ser ud til, at manipulatorer er i stand til at påvirke disse data manuelt.
Sårbarhederne findes i Philips 'PageWriter-modeller TC10, TC20, TC30, TC50 og TC70. Sårbarhederne skyldes, at inputinformation manuelt kan indtastes og hårdkodes i grænsefladen, hvilket resulterer i forkert input, da enhedens system ikke verificerer eller filtrerer bort de indtastede data. Dette betyder, at resultaterne fra enheden er direkte korreleret med, hvad brugerne lægger i dem manuelt, hvilket giver mulighed for forkert og ineffektiv diagnose. Manglen på datasanitering bidrager direkte til muligheden for bufferoverløb og formatere strengesårbarheder.
Ud over denne datafejlsudnyttelsesmulighed, egner sig evnen til at kode data i grænsefladen også til den hårde kodning af legitimationsoplysninger. Dette betyder, at enhver hacker, der kender enhedens adgangskode og har enheden fysisk ved hånden, kan ændre enhedens indstillinger og forårsage forkert diagnose ved hjælp af enheden.
På trods af virksomhedens beslutning om ikke at undersøge disse sårbarheder indtil sommeren næste år, har den offentliggjorte rådgivning tilbudt et par råd til afbødning af disse sårbarheder. De vigtigste retningslinjer for dette drejer sig om enhedens fysiske sikkerhed: at sikre, at ondsindede angribere ikke er i stand til fysisk at få adgang til eller manipulere enheden. Derudover rådes klinikker til at indlede komponentbeskyttelse i deres systemer og begrænse og regulere, hvad der er adgang til enhederne.
