ឧបករណ៍ Defibrillators implantable របស់ Medtronic អាចបង្ករគ្រោះថ្នាក់ដល់ជីវិត

ក្រសួងសន្តិសុខមាតុភូមិសហរដ្ឋអាមេរិកកាលពីថ្ងៃព្រហស្បតិ៍បានចេញការព្រមានដល់មនុស្សដែលមានភាពងាយរងគ្រោះធ្ងន់ធ្ងរនៅលើសរសៃឈាមបេះដូងជាច្រើនដែលអាចអនុញ្ញាតឱ្យគេចូលវាយប្រហារបានយ៉ាងពេញលេញពីចម្ងាយ។

សក្តានុពលនៃជីវិតរបស់អ្នកជំងឺរាប់លាននាក់ដែលមានហានិភ័យ។ ឧបករណ៍ Defibrillator Cardioverter គឺជាឧបករណ៍វះកាត់តូចៗដែលវះដាក់បញ្ចូលទៅក្នុងទ្រូងរបស់អ្នកជំងឺ ដែលធ្វើឱ្យបេះដូងរបស់អ្នកជំងឺឆក់ (ជារឿយៗត្រូវបានគេហៅថា countershock) ដើម្បីឲ្យបះដូងដើរបានធម្មតា។

ខណៈពេលដែលឧបករណ៍នេះត្រូវបានគេរចនាឡើងដើម្បីទប់ស្កាត់ការស្លាប់ភ្លាមៗនោះអ្នកឯកទេសខាងជំងឺបេះដូងដែលត្រូវបានបង្កើតឡើងដោយក្រុមហ៊ុនវេជ្ជសាស្ត្រដ៏ធំបំផុតមួយរបស់ពិភពលោក Medtronic ត្រូវបានគេរកឃើញថាមានភាពងាយរងគ្រោះចំនួនពីរយ៉ាង។

រកឃើញដោយក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុនសន្តិសុខ Clever Security ភាពងាយរងគ្រោះនេះអាចឱ្យអ្នកគំរាមកំហែងដែលមានចំនេះដឹងនៃឧបករណ៍វេជ្ជសាស្ត្រ ធ្វើការដើម្បីស្ទាក់ចាប់និងមានប៉ះពាល់ដល់មុខងារនៃឧបករណ៍ ទាំងនេះ។

ភាពងាយរងគ្រោះស្ថិតនៅក្នុង Conexus Radio Frequency Telemetry Protocol ដែលជាប្រព័ន្ធទំនាក់ទំនងឥតខ្សែដែលត្រូវបានប្រើដោយឧបករណ៍ Defibrillators Medtronic និងឧបករណ៍បញ្ជារបស់ពួកគេដើម្បីភ្ជាប់ទៅនឹងឧបករណ៍ឥតខ្សែដោយប្រើរលកវិទ្យុ។

កំហុសឆ្គងទី ១: កង្វះនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅក្នុង Defimrillators Implantable Medtronic

យោងតាមការណែនាំ [PDF] ដែលបានចេញផ្សាយដោយ Medtronic, កំហុសទាំងនេះប៉ះពាល់ដល់ផលិតផលជាង ២០ ដែលក្នុងនោះមាន ១៦ ប្រភេទគឺ defibrillators និងអ្នកសរសេរកម្មវិធី។

កំហុសឆ្គងសំខាន់ៗទាំងពីរគឺ CVE-2019-6538 ដែលកើតឡើងដោយសារតែលេខរបស់ Conexus មិនរាប់បញ្ចូលការត្រួតពិនិត្យមើលការបំផ្លិចបំផ្លាញទិន្នន័យ ក៏មិនបានអនុវត្តសំណុំបែបបទនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវឬការអនុញ្ញាតណាមួយឡើយ។

កំហុសឆ្គងទី ២: កង្វះនៃការអ៊ិនគ្រីបនៅក្នុងឧបករណ៍ Defibrillators implantable Medtronic

Conexus protocol telemetry មិនបានផ្តល់ការអ៊ិនគ្រីបដើម្បីទទួលបាន ការទាក់ទងតាមទូរស័ព្ទឡើយដែលអាចឱ្យអ្នកវាយប្រហារស្ថិតនៅក្នុងការលួចស្តាប់ទំនាក់ទំនងបាន។ បញ្ហានេះត្រូវបានកំណត់ CVE-2019-6540 ។

ទោះបីជាយ៉ាងណាក៏ដោយលោក Medtronic បាននិយាយថាភាពងាយរងគ្រោះនេះនឹងពិបាកក្នុងការទាញយកអត្ថប្រយោជន៍និងធ្វើឱ្យអ្នកជំងឺមានគ្រោះថ្នាក់ពីព្រោះវាតម្រូវឱ្យមានលក្ខខណ្ឌដូចខាងក្រោម:

• បុគ្គលម្នាក់ដែលគ្មានការអនុញ្ញាតត្រូវនៅឲ្យជិតឧបករណ៍គោលដៅ 6 ម៉ែត្រ (20 ហ្វីត) ឬអ្នកបង្កើតកម្មវិធីគ្លីនិក។
• Conexus telemetry ត្រូវបានពិនិត្យយ៉ាងសកម្មដោយអ្នកជំនាញថែទាំសុខភាពដែលស្ថិតនៅក្នុងបន្ទប់ជាមួយនឹងអ្នកជំងឺដែរ។
• ឧបករណ៍ត្រូវបានកំណត់ខុសគ្នារវាងអ្នកជម្ងឺនីមួយ។

Medtronic បានអនុវត្តការត្រួតពិនិត្យបន្ថែមសម្រាប់ការត្រួតពិនិត្យនិងការឆ្លើយតបទៅនឹងការរំលោភបំពានដែលទទួលរងផលប៉ះពាល់ហើយកំពុងធ្វើការលើការជួសជុលដើម្បីដោះស្រាយភាពងាយរងគ្រោះដែលបានរាយការណ៍។

ប្រភព ៖

https://thehackernews.com/2019/03/hacking-implantable-defibrillators.html