Philipsi kardiograafi seade. Absoluutne meditsiinivarustus
Philips on tuntud tipptasemel ja tõhusate PageWriter Cardiograph seadmete tootmise poolest. Pärast hiljutist avastamist küberturvalisuse nõrkustes oma seadmetes, mis võimaldavad ründajatel seadme seadeid diagnoosi mõjutamiseks muuta, on Philips ICS-CERTis öelnud nõuandev et ta kavatseb neid haavatavusi uurida alles 2019. aasta suvel.
Philipsi PageWriter Cardiograph seadmed võtavad kehale kinnitatud andurite kaudu signaale vastu ja loovad nende andmete põhjal EKG mustrid ja skeemid, mille abil arst saab seejärel diagnoosi sõlmimiseks nõu pidada. See protsess ei tohiks iseenesest sekkuda, et tagada tehtud mõõtmiste ja kujutatud graafikute terviklikkus, kuid näib, et manipulaatorid suudavad neid andmeid käsitsi mõjutada.
Haavatavused on olemas Philipsi PageWriteri mudelitesTC10, TC20, TC30, TC50 ja TC70. Haavatavused tulenevad asjaolust, et sisendinformatsiooni saab liidesesse käsitsi sisestada ja kodeerida, mille tulemuseks on vale sisestamine, kuna seadme süsteem ei kontrolli ega filtreeri ühtegi sisestatud teavet. See tähendab, et seadme tulemused on otseselt korrelatsioonis kasutajate poolt käsitsi sisestatud tulemustega, mis võimaldab vale ja ebaefektiivse diagnoosi. Andmete desinfitseerimise puudumine aitab otseselt kaasa puhvri ületäitumise ja stringi vormindamise haavatavuse võimalusele.
Lisaks sellele andmevigade ärakasutamise võimalusele annab võime liidesesse andmeid kodeerida ka volituste kodeerimisel. See tähendab, et kõik ründajad, kes teavad seadme parooli ja kellel on seade füüsiliselt käepärast, saavad seadme seadeid muuta, põhjustades seadme abil vale diagnoosi.
Hoolimata ettevõtte otsusest mitte uurida neid haavatavusi kuni järgmise aasta suveni, on avaldatud nõuandepunkt pakkunud mõned nõuanded nende haavatavuste leevendamiseks. Selle peamised juhised käsitlevad seadme füüsilist turvalisust: tagades, et pahatahtlikud ründajad ei saaks seadmele füüsiliselt juurde pääseda ega sellega manipuleerida. Lisaks sellele soovitatakse kliinikutel algatada komponentide kaitse oma süsteemides, piirates ja reguleerides seadmetele juurdepääsu.
