Philipsova naprava za kardiograf. Absolutna medicinska oprema
Philips je znan po proizvodnji vrhunskih in učinkovitih naprav za kardiograf PageWriter. Po nedavnem odkritju ranljivosti kibernetske varnosti v svojih napravah, ki napadalcem omogočajo spreminjanje nastavitev naprav, da vplivajo na diagnozo, je Philips v ICS-CERT dejal, svetovalni da te ranljivosti namerava preučiti šele poleti 2019.
Naprave Philips PageWriter Cardiograph sprejemajo signale prek senzorjev, pritrjenih na telo, in te podatke uporabljajo za ustvarjanje EKG vzorcev in diagramov, s katerimi se lahko zdravnik nato posvetuje za diagnozo. Ta postopek sam po sebi ne bi smel posegati, da bi zagotovil celovitost opravljenih meritev in prikazanih grafov, vendar se zdi, da lahko manipulatorji vplivajo na te podatke ročno.
Ranljivosti obstajajo v Philipsovih modelih PageWriter TC10, TC20, TC30, TC50 in TC70. Ranljivosti izhajajo iz dejstva, da je mogoče vhodne informacije ročno vnašati in trdo kodirati v vmesnik, kar povzroči nepravilen vnos, saj sistem naprave ne preveri ali filtrira nobenega vnesenega podatka. To pomeni, da so rezultati naprave neposredno povezani s tem, kar uporabniki vstavijo ročno, kar omogoča nepravilno in neučinkovito diagnozo. Pomanjkanje sanacije podatkov neposredno prispeva k možnosti prelivanja medpomnilnika in ranljivosti nizov formatiranja.
Poleg možnosti izkoriščanja podatkovne napake je zmožnost trdega kodiranja podatkov v vmesnik tudi trdo kodiranje poverilnic. To pomeni, da lahko vsak napadalec, ki pozna geslo naprave in je fizično pri roki, spremeni nastavitve naprave in povzroči nepravilno diagnozo pri uporabi naprave.
Kljub odločitvi podjetja, da teh ranljivosti ne bo preučevalo do poletja prihodnje leto, je objavljeno svetovanje ponudilo nekaj nasvetov za ublažitev teh ranljivosti. Glavne smernice za to se vrtijo okoli fizične varnosti naprave: zagotavljanje, da zlonamerni napadalci ne bodo mogli fizično dostopati do naprave ali manipulirati z njo. Poleg tega klinike svetujejo, da v svojih sistemih uvedejo zaščito komponent, pri čemer omejijo in uredijo dostop do naprav.
