Philips Kardiograph. Absolute medizinische Ausrüstung
Philips ist bekannt für die Herstellung hochwertiger und effizienter PageWriter Cardiograph-Geräte. Nach der jüngsten Entdeckung von Cybersicherheitslücken in seinen Geräten, die es Angreifern ermöglichen, die Einstellungen der Geräte zu ändern, um die Diagnose zu beeinflussen, hat Philips dies in einem ICS-CERT mitgeteilt beratend dass es nicht beabsichtigt, diese Schwachstellen bis zum Sommer 2019 zu untersuchen.
Die Philips PageWriter-Kardiographegeräte nehmen Signale über am Körper angebrachte Sensoren auf und erstellen anhand dieser Daten EKG-Muster und -Diagramme, die der Arzt zum Abschluss einer Diagnose heranziehen kann. Dieser Prozess sollte an sich keine Interferenzen aufweisen, um die Integrität der durchgeführten Messungen und dargestellten Diagramme sicherzustellen. Es scheint jedoch, dass Manipulatoren diese Daten manuell beeinflussen können.
Die Sicherheitsanfälligkeiten bestehen in den PageWriter-Modellen TC10, TC20, TC30, TC50 und TC70 von Philips. Die Sicherheitslücken ergeben sich aus der Tatsache, dass Eingabeinformationen manuell eingegeben und fest in die Schnittstelle codiert werden können, was zu einer fehlerhaften Eingabe führt, da das System des Geräts keine der eingegebenen Daten überprüft oder herausfiltert. Dies bedeutet, dass die Ergebnisse des Geräts direkt mit den manuell eingegebenen Ergebnissen der Benutzer korrelieren, was eine fehlerhafte und ineffiziente Diagnose ermöglicht. Das Fehlen einer Datenbereinigung trägt direkt zur Möglichkeit von Pufferüberlauf- und Format-String-Schwachstellen bei.
Zusätzlich zu dieser Möglichkeit zur Ausnutzung von Datenfehlern bietet sich die Möglichkeit, Daten in die Schnittstelle fest zu codieren, auch zur harten Codierung von Anmeldeinformationen an. Dies bedeutet, dass jeder Angreifer, der das Kennwort des Geräts kennt und das Gerät physisch zur Hand hat, die Geräteeinstellungen ändern kann, was zu einer fehlerhaften Diagnose mit dem Gerät führt.
Trotz der Entscheidung des Unternehmens, diese Schwachstellen erst im Sommer nächsten Jahres zu untersuchen, hat das veröffentlichte Gutachten einige Ratschläge zur Minderung dieser Schwachstellen gegeben. Die wichtigsten Richtlinien hierfür beziehen sich auf die physische Sicherheit des Geräts: Sicherstellen, dass böswillige Angreifer nicht physisch auf das Gerät zugreifen oder es manipulieren können. Darüber hinaus wird den Kliniken empfohlen, den Komponentenschutz in ihren Systemen einzuleiten und den Zugriff auf die Geräte einzuschränken und zu regulieren.
