Philips kardiográf készülék. Abszolút orvosi felszerelés
A Philips kiváló minőségű és hatékony PageWriter Cardiograph eszközök gyártásáról ismert. Miután nemrégiben felfedezték olyan kiberbiztonsági réseket, amelyek lehetővé teszik a támadók számára, hogy megváltoztassák az eszközök beállításait a diagnózis befolyásolása érdekében, a Philips egy ICS-CERT-ben nyilatkozott tanácsadó hogy 2019 nyaráig nem kívánja megvizsgálni ezeket a sebezhetőségeket.
A Philips PageWriter Cardiograph készülékek jeleket vesznek fel a testhez rögzített érzékelőkön keresztül, és ezeket az adatokat felhasználva létrehozzák az EKG mintákat és diagramokat, amelyek segítségével az orvos konzultálhat a diagnózis megállapításával. Ennek a folyamatnak önmagában nem szabad beavatkoznia a mért mérések és az ábrázolt grafikonok integritásának biztosítása érdekében, de úgy tűnik, hogy a manipulátorok képesek manuálisan befolyásolni ezeket az adatokat.
A sérülékenységek a Philips TC10, TC20, TC30, TC50 és TC70 modelljeiben találhatók. A sérülékenységek abból adódnak, hogy a bemeneti információkat manuálisan lehet bevinni és keményen kódolni az interfészre, ami helytelen bevitelt eredményez, mivel az eszköz rendszere nem ellenőrzi vagy kiszűri a bevitt adatokat. Ez azt jelenti, hogy az eszköz eredményei közvetlenül korrelálnak azzal, amit a felhasználók kézzel tesznek bele, ami lehetővé teszi a helytelen és nem hatékony diagnózist. Az adatok megtisztításának hiánya közvetlenül hozzájárul a puffertúlcsordulás és a formázási karakterlánc sebezhetőségének lehetőségéhez.
Ezen adathiba-kihasználási lehetőség mellett az adatok hardveres kódolása az interfészen a hitelesítő adatok kemény kódolásához is hozzájárul. Ez azt jelenti, hogy minden támadó, aki ismeri az eszköz jelszavát, és fizikailag kéznél van az eszköz, módosíthatja az eszköz beállításait, ami helytelen diagnózist okozhat az eszköz használatával.
Annak ellenére, hogy a vállalat úgy döntött, hogy a jövő év nyaráig nem vizsgálja meg ezeket a sebezhetőségeket, a közzétett tanácsadó néhány tanácsot felajánlott e sebezhetőségek enyhítésére. Ennek fő irányelvei az eszköz fizikai biztonsága körül forognak: annak biztosítása, hogy a rosszindulatú támadók ne legyenek képesek fizikailag hozzáférni vagy manipulálni az eszközt. Ezen túlmenően a klinikáknak azt javasolják, hogy kezdeményezzenek alkatrészvédelmet rendszereikben, korlátozva és szabályozva, hogy az eszközökhöz mit lehet elérni.
