„Philips Cardiograph“ įrenginys. Absoliuti medicinos įranga
„Philips“ yra žinomas dėl aukščiausios klasės ir efektyvių „PageWriter Cardiograph“ įrenginių gamybos. Neseniai atradusi kibernetinio saugumo pažeidžiamumą savo įrenginiuose, leidžiančius užpuolikams pakeisti įrenginių nustatymus, kad paveiktų diagnozę, „Philips“ ICS-CERT pranešė patariamoji kad iki šių metų vasaros neketina nagrinėti šių pažeidžiamumų.
„Philips PageWriter Cardiograph“ prietaisai priima signalus per jutiklius, pritvirtintus prie kūno, ir naudodamiesi šiais duomenimis sukuria EKG modelius ir diagramas, su kuriomis gydytojas gali pasitarti diagnozei nustatyti. Šis procesas neturėtų trukdyti savaime, kad būtų užtikrintas atliktų matavimų ir pavaizduotų grafikų vientisumas, tačiau panašu, kad manipuliatoriai gali paveikti šiuos duomenis rankiniu būdu.
Pažeidžiamumas yra „Philips“ „PageWriter“ modeliuose TC10, TC20, TC30, TC50 ir TC70. Pažeidžiamumas kyla dėl to, kad įvesties informaciją galima rankiniu būdu įvesti ir užkoduoti sąsajoje, dėl ko neteisingai įvedama, nes įrenginio sistema netikrina ir nefiltruoja jokių įvestų duomenų. Tai reiškia, kad prietaiso rezultatai tiesiogiai koreliuoja su tuo, ką vartotojai įdėjo į juos rankiniu būdu, kad būtų galima diagnozuoti netinkamai ir neefektyviai. Duomenų tvarkymo trūkumas tiesiogiai prisideda prie buferio perpildymo ir formato eilutės pažeidžiamumo galimybės.
Be šios duomenų klaidų išnaudojimo galimybės, galimybė sukonfigūruoti duomenis į sąsają taip pat suteikia galimybę sunkiai koduoti kredencialus. Tai reiškia, kad bet kuris užpuolikas, žinantis įrenginio slaptažodį ir fiziškai turintis prietaisą, gali modifikuoti įrenginio nustatymus ir sukelti netinkamą diagnozę naudodamas šį įrenginį.
Nepaisant bendrovės sprendimo iki kitų metų vasaros netyrinėti šių pažeidžiamumų, paskelbtas patarėjas pateikė keletą patarimų, kaip sušvelninti šiuos pažeidžiamumus. Pagrindinės to gairės yra susijusios su fiziniu įrenginio saugumu: užtikrinant, kad kenkėjiški užpuolikai negalėtų fiziškai pasiekti įrenginio ar juo manipuliuoti. Be to, klinikoms patariama inicijuoti komponentų apsaugą savo sistemose, ribojant ir reguliuojant tai, ką galima pasiekti įrenginiuose.
