Az ICS-CERT ma hajnalban megjelent publikációja szerint a St. Jude Medical Merlin@home nevű kommunikációs berendezésében felfedezett hiba közbeékelődéses (Man-in-the-middle) támadást teszt lehetővé. A hiba a Merlin@home 8.2.2-nél korábbi verzióiban található meg.

A Merlin@home-ot szívbeteg páciensekbe beültetett kardiológiai implantátumok ütemezett adatátviteleire és napi ellenőrzéseinek elvégzésére lehet használni.

A gyártó a hibát a Merlin@home 8.2.2-es verzióban javította. Az eszközök a St. Jude Medical tájékoztatása szerint automatikusan fogják megkapni a frissítést, amennyire azok csatlakoznak Ethernet-, WiFi-, mobil vagy vezetékes telefon-hálózatra.

Ahogy 2016. december elején, a Locus Energy berendezéseinek sérülékenysége nyomán megjelent ICS-CERT bejelentésről szóló posztban már megfogalmaztam, a különböző folyamatvezérlő eszközök publikus hálózatokra történő csatlakoztatása minden, ICS kiberbiztonsági alapelvnek ellentmond, orvosi folyamatvezérlő eszközök esetén pedig kifejezetten veszélyes lehet - a jelek szerint a gyártó nem osztja ezeket a nézeteket.

Pozitív fejlemény azonban, hogy a hibával kapcsolatban az amerikai élelmiszer és gyógyszerügyi hatóság (FDA) is kiadta a saját figyelmeztetését. Amennyire én tudom, ez egy új gyakorlat, a tavalyi év során az ICS-CERT-től már láttam orvosi rendszer sérülékenységéről szóló bejelentést, akkor még szó sem volt arról, hogy az FDA foglalkozna a problémával.

A hibával kapcsolatban további információkat a St. Jude Medical és az ICS-CERT publikációiban lehet találni.