Philips estudiarà les vulnerabilitats del dispositiu cardiògraf de PageWriter a mitjan 2019

Dispositiu Cardiògraf Philips. Equip mèdic absolut

Philips és conegut per la producció de dispositius Cardiograph PageWriter de gamma alta i eficients. Després del recent descobriment de vulnerabilitats de ciberseguretat en els seus dispositius que permeten als atacants modificar la configuració dels dispositius per afectar el diagnòstic, Philips s'ha manifestat en un ICS-CERT assessorament que no té intenció d’estudiar aquestes vulnerabilitats fins a l’estiu del 2019.

Els dispositius Cardiograph de Philips PageWriter capten senyals mitjançant sensors connectats al cos i utilitzen aquestes dades per crear patrons i diagrames d’ECG que el metge pot consultar per concloure un diagnòstic. Aquest procés no hauria de tenir cap interferència per si mateix per garantir la integritat de les mesures preses i dels gràfics representats, però sembla que els manipuladors poden influir manualment en aquestes dades.

Les vulnerabilitats existeixen als models PageWriter de Philips TC10, TC20, TC30, TC50 i TC70. Les vulnerabilitats sorgeixen del fet que la informació d’entrada es pot introduir manualment i codificar de manera dura a la interfície, cosa que provoca una entrada incorrecta, ja que el sistema del dispositiu no verifica ni filtra cap de les dades introduïdes. Això significa que els resultats del dispositiu es relacionen directament amb el que els usuaris hi posen manualment, cosa que permet un diagnòstic inadequat i ineficient. La manca de sanejament de dades contribueix directament a la possibilitat de desbordament de memòria intermèdia i format de vulnerabilitats de cadenes.

A més d'aquesta possibilitat d'explotació d'errors de dades, la possibilitat de codificar dades de dades a la interfície també es presta a la codificació dura de les credencials. Això vol dir que qualsevol atacant que conegui la contrasenya del dispositiu i el tingui físicament a mà pot modificar la configuració del dispositiu provocant un diagnòstic inadequat amb el dispositiu.

Tot i la decisió de l’empresa de no examinar aquestes vulnerabilitats fins a l’estiu de l’any vinent, l’assessor publicat ha ofert alguns consells per mitigar aquestes vulnerabilitats. Les principals directrius per a això giren al voltant de la seguretat física del dispositiu: garantir que els atacants maliciosos no puguin accedir ni manipular-lo físicament. A més, es recomana a les clíniques que iniciïn la protecció de components als seus sistemes, restringint i regulant allò que es pot accedir als dispositius.