ה- FDAהודיע על צורך בעדכון תוכנהFirmware לקוצבי לב עם ממשק אלחוטי
מאת:
מערכת Telecom News, 3.9.17, 14:32
המוצרים פגיעים לתקיפת האקרים באמצעות הממשק האלחוטי, שעלולה לאפשר לתוקף מתן פקודות מרחוק לקוצב. יש לבצע את העדכון ע"י הרופא המטפל.
דווח, שה-
FDA האמריקאי הודיע, שמספר דגמים של קוצבי לב בעלי ממשק אלחוטי, מתוצרת חברת
,St. Jude Medical ששייכת לחברת
,Abbott נדרשים לבצע עדכון תוכנה
.Firmware הם מצויים אצל למעלה מחצי מיליון בני אדם בעולם מהם בכמאה לכל היותר בארץ הם בעלי הסוגים הפגיעים. המוצרים פגיעים לתקיפה באמצעות הממשק האלחוטי, שעלולה לאפשר לתוקף מתן פקודות מרחוק לקוצב. יש לבצע את העדכון ע"י הרופא המטפל והוא נמשך כמה דקות.
מדובר ב-6 דגמים של קוצבי לב של חברה בשם
,St. Jude Medical שנמכרה לחברת הענק
Abbott בתחילת השנה.
הדגמים הרלוונטיים הם:
Accent/Anthem, Accent MRI, Assurity/Allure, Assurity MRI.
קוצבי הלב מתקשרים באמצעות ממשק
RF, ותוקף בקרבת מקום למושתל עם קוצב עלול לבצע את התקיפות הבאות:
- עקיפה של ההזדהות ומתן פקודות לקוצב הלב,
- מתן פקודות חוזרות לקוצב הלב להפעיל תקשורת RF ובכך לגרום לקיצור חיי הסוללה,
- האזנה לתקשורת לא מוצפנת מן קוצב הלב.
הסיכון המרבי לחולה הוא ממתן פקודות לקוצב הלב. לפגיעות זו נקבע
CVSS של 7.5.
התקיפה הודגמה אך בשלב זה אין קוד פומבי זמין. כמו כן, נדרשת קרבה פיזית וגם רמת ידע גבוהה של התוקף
.
ליצרן סטטיסטיקה על כישלונות בעדכוני קושחה מסוג זה. עפ"י היצרן, הסיכונים עלולים לכלול:
· · Reloading of previous firmware version due to incomplete update (0.161%)
· · Loss of currently programmed device settings (0.023%),
· · Complete loss of device functionality (0.003%),
· · Loss of diagnostic data (not reported)
מצ"ב קישורים לפרסומים של ICS-CERT, FDA והיצרן.
מומלץ לחולה, שמושתל אצלו קוצב לב מהדגמים הרלוונטיים, להתייעץ עם הרופא המטפל לגבי הצורך והמועד המתאים לביצוע העדכון.
