A Agência de Segurança de Infraestrutura e Cibernética do Departamento de Segurança Interna dos EUA emitiu um alerta de que alguns desfibriladores implantados pela Medtronic contêm vulnerabilidades que podem ser exploradas por um hacker, desde que ele tivesse conhecimento dos dispositivos e estivesse próximo com um indivíduo que possuísse um. O Star Tribune informou na quinta-feira (21) que cerca de 750 mil dispositivos podem estar vulneráveis.
Os desfibriladores implantados são pequenos dispositivos que ajudam a evitar problemas cardíacos potencialmente fatais, administrando choques elétricos para tratar batimentos cardíacos irregulares. A agência informou nesta quinta-feira que, se explorada, as vulnerabilidades de alguns Medtronic permitiriam que um hacker interceptasse e potencialmente causasse impacto na funcionalidade de certos modelos de desfibriladores e dispositivos de monitoramento.
De acordo com o Ars Technica, as vulnerabilidades foram sinalizadas à Medtronic em janeiro do ano passado por pesquisadores da empresa de segurança Clever Security, que fizeram uma série de descobertas alarmantes:
Um ataque de prova de conceito desenvolvido pelos pesquisadores foi capaz de assumir o controle dos dispositivos implantados de uma maneira nunca antes vista na maioria das explorações que afetam dispositivos médicos que salvam vidas. Com acesso físico a um console MyCareLink ou CareLink, os pesquisadores poderiam fazer modificações que retirariam nomes de pacientes, nomes de médicos e números de telefone relevantes do dispositivo e causariam alterações não autorizadas e potencialmente fatais nas descargas elétricas fornecidas pelos dispositivos. Ainda mais impressionante, o ataque foi capaz de ler e reescrever todo o firmware usado para operar o implante.
O Departamento de Segurança Interna dos EUA listou mais de uma dúzia de dispositivos cardíacos da Medtronic afetados pelas falhas — incluindo desfibriladores cardioversores implantáveis e desfibriladores de terapia de ressincronização cardíaca –, mas a empresa disse que eles não afetam outros dispositivos da Medtronic, como os marcapassos.
A Medtronic disse, em comunicado ao Gizmodo, que atualmente está investigando atividades incomuns ou não autorizadas relativas à vulnerabilidade, mas que não encontrou nenhum incidente de ataque hacker bem-sucedido das falhas até agora. A empresa acrescentou que está trabalhando em correções de segurança para as falhas, a primeira das quais disse que deve chegar ainda este ano.
Apesar da recomendação federal, o vice-presidente de assuntos médicos da empresa, Robert Kowal, declarou ao Star Tribune que a vulnerabilidade “seria muito difícil de explorar para causar danos”. O Departamento de Segurança Interna também notou que um invasor precisaria ter “acesso de curto alcance” a um dos aparelhos afetados para explorá-lo; Kowal disse ao jornal que essa distância seria de aproximadamente 6 metros.
Em uma declaração por e-mail, um porta-voz da Medtronic disse que tanto a empresa quanto a Food and Drug Administration (órgão norte-americano que supervisiona alimentos e medicamentos, correspondente à nossa Anvisa) “recomendam que pacientes e médicos continuem usando dispositivos e tecnologia da forma como foram prescritos e projetados, pois isso proporciona a maneira mais eficiente de gerenciar os dispositivos e condições cardíacas dos pacientes”.
De acordo com a Medtronic, os pacientes devem também utilizar apenas dispositivos de monitorização do desfibrilador, fornecidos pela Medtronic ou pelo seu médico. A empresa também aconselha as pessoas a manterem um “bom controle físico” sobre seus monitores e evitar vinculá-los a dispositivos não aprovados.
[DHS via Star Tribune, Ars Technica]