Arriva dal Department of Homeland Security statunitense la comunicazione in merito alle vulnerabilità che interessano circa 750.000 dispositivi prodotti e commercializzati da Medtronic, destinati a pazienti con patologie cardiache. Si tratta di defibrillatori impiantabili, monitor esterni dedicati alla loro gestione e strumenti per programmarne l’attività.
Medtronic, defibrillatori a rischio
Stando alle informazioni rese note il problema può potenzialmente consentire a un malintenzionato che si trova nei pressi della vittima di manometterne il funzionamento, con conseguenze ben immaginabili sulla salute del diretto interessato. L’attacco avverrebbe mediante l’immissione o la manipolazione delle informazioni scambiate tra il monitor e il defibrillatore, anche in conseguenza del mancato impiego di sistemi dedicati alla protezione dei dati scambiati, come si legge nel comunicato firmato da DHS.
Il protocollo Conexus per la telemetria utilizzato da questo ecosistema non implementa autenticazione o autorizzazione. Un soggetto nelle vicinanze del prodotto, se la componente radio è attivata, può iniettare, replicare, modificare o intercettare i dati. Il protocollo consente di leggere e scrivere i valori inclusi nella memoria e influenzare l’attività dei dispositivi cardiaci impiantati.
Il produttore è intervenuto sulla vicenda definendo “basso” il rischio per chi ha un dispositivo all’interno del proprio corpo, poiché l’azione non può essere effettuata da remoto. Inoltre, Medtronic afferma che nel caso di anomalie o di ricezione di comandi non conformi al normale funzionamento, l’alimentazione dei defibrillatori viene immediatamente interrotta. In tal caso, però, non sono più in grado di svolgere la loro funzione di pacemaker identificando una crisi cardiaca e intervenendo per stimolare l’organo mediante gli elettrodi impiantati.
I modelli interessati
È stato reso noto l’elenco dei prodotti potenzialmente affetti dalle vulnerabilità. Sono più di 20, li riportiamo di seguito per completezza d’informazione: MyCareLink Monitor (versioni 24950 e 24952), CareLink Monitor (versione 2490C), CareLink 2090 Programmer, Amplia CRT-D (tutti i modelli), Claria CRT-D (tutti i modelli), Compia CRT-D (tutti i modelli), Concerto CRT-D (tutti i modelli), Concerto II CRT-D (tutti i modelli), Consulta CRT-D (tutti i modelli), Evera ICD (tutti i modelli), Maximo II CRT-D and ICD (tutti i modelli), Mirro ICD (tutti i modelli), Nayamed ND ICD (tutti i modelli), Primo ICD (tutti i modelli), Protecta ICD and CRT-D (tutti i modelli), Secura ICD (tutti i modelli), Virtuoso ICD (tutti i modelli), Virtuoso II ICD (tutti i modelli), Visia AF ICD (tutti i modelli) e Viva CRT-D (tutti i modelli).
Medtronic ha comunicato ai pazienti di mantenere attiva la connessione wireless dei monitor e dei dispositivi per l’impostazione dei defibrillatori, così da poter immediatamente ricevere le patch di sicurezza non appena disponibili al rollout. Insomma, un po’ come avviene con l’aggiornamento del sistema operativo installato nello smartphone. Al momento non è dato a sapere se i prodotti interessati siano stati distribuiti solo negli USA oppure a livello globale. Sul sito ufficiale italiano dell’azienda abbiamo trovato i manuali nella nostra lingua di alcuni dei device elencati poc’anzi.
Non è la prima volta che si parla di questo tipo di problemi. È accaduto nel 2017 con i defibrillatori commercializzati dall’azienda St. Jude Medical, portando poi alla soluzione del problema con il rilascio un update software. Ne abbiamo inoltre scritto su queste pagine oltre una decina di anni fa, ipotizzando alcuni rischi legati a una manomissione dei dispositivi medici da parte di malintenzionati: cosa accadrebbe se i terminali fossero vulnerabili agli attacchi?