Управление по надзору в сфере пищевых продуктов и лекарственных средств США (FDA) направило предупреждение в адрес компании Abbott Laboratories, указывая на недостаточное обеспечение безопасности использования уязвимого устройства Merlin@home.

Регулятор пообещал принять меры, в том числе штрафы и судебный запрет на осуществление деятельности, в отношении учреждения, если оно не закроет уязвимости в кардиоустройстве.

Устройство Merlin@home — радиопередатчик, разработанный компанией St. Jude Medical, которая была поглощена Abbott в январе. Устройство позволяет удаленно отслеживать показания вживленного в тело пациента дефибриллятора.

Уязвимости в устройствах Merlin и других продуктах St. Jude Medical были обнародованы в скандальном отчете, подготовленном исследовательской компанией MedSec Holdings при поддержке хеджевого фонда Muddy Waters. Публикация информации об уязвимостях позволила MedSec сыграть на понижение и нажиться на резком снижении курса акций St. Jude. Тогда Muddy Waters предсказывала, что в результате публикации отчета оборот St. Jude Medical упадет вдвое, а отыгрывание позиций займет до двух лет.

Отчет Muddy Waters/MedSec указал на ряд уязвимостей в устройствах Merlin@home, вследствие которых потенциальный злоумышленник способен вмешаться в процесс передачи данных между имплантом и передатчиком. Хотя после этого Abbott и St. Jude Medical запатчили некоторые из уязвимостей в Merlin@home, MedSec раскритиковала обновление, назвав его неполным. Также Muddy Waters раскрыл дополнительную информацию о брешах в самих имплантах, которые дают возможность спровоцировать сердечный приступ у пациента или раньше времени истощить батарею устройства.

«Как говорится в письме, компания не отреагировала надлежащим образом на рекомендации экспертов по информационной безопасности, сделанные еще в 2014 году, и сегодня устройства St. Jude Medical не соответствуют требованиям FDA, — рассказал глава MedSec Джастин Боун (Justine Bone). — Уязвимости в имплантах, о которых мы сообщали, так и не были закрыты, и теперь FDA требует от производителя принять меры. Мы призываем Abbott в кратчайшее время разобраться с этими серьезными проблемами».

В своем письме FDA подчеркнуло, что Abbott не провела расследование первопричин проблемы и не приняла никаких мер, чтобы исключить повторение подобных проблем в будущем.

«Компания не подтвердила факт проведения мероприятий, направленных на исправление недостатков в оборудовании, не оценила эффект этих мероприятий и их влияние на работу устройства, — говорится в письме FDA. — Мы рассмотрели ваш ответ и не нашли его адекватным. Компания предоставила обобщенную информацию о датах проведения некоторых мероприятий, но в вашем ответе нет подтверждений проведения системных мероприятий, направленных на обеспечение безопасности устройств».

FDA в своем письме раскритиковало не только принципы решения проблем кибербезопасности в Abbott Laboratories; регулятор также обратил внимание на проблему возможного преждевременного истощения литий-ионных аккумуляторов в имплантируемых устройствах.

Abbott Laboratories не ответила предметно на запрос комментария от Threatpost, ограничившись официальным заявлением:

«Для компании Abbott здоровье пациентов — наивысший приоритет. Мы всегда ответственно относились к качеству и безопасности продукции, что доказано долгими годами работы. Abbott приобрела компанию St. Jude Medical в январе 2017 года; проверка FDA в отношении учреждения Sylmar, ранее принадлежавшего St. Jude Medical, началась 7 февраля; мы предоставили ответ на 483 запроса регулятора 13 марта, описав принимаемые нами меры. Мы серьезно относимся к таким вопросам, поэтому  внимательно изучим предупреждение FDA и должным образом отреагируем на рекомендации».

9 января St. Jude Medical выкатила патч для устройств Merlin@home, который должен был закрыть все уязвимости, отмеченные MedSec и Muddy Waters. Но руководство MedSec и Muddy Waters раскритиковало патч, заявив, что он не решает ряд более серьезных проблем: например, в устройстве содержится бэкдор, который потенциально открывает возможность удаленного управления имплантом. В подкасте от 19 января Боун подтвердил, что патч решает только проблему MitM-атак, возможных из-за уязвимости коммуникационного протокола между передатчиком и инфраструктурой St. Jude.

«Патч, подготовленный St. Jude Medical, не решает проблему имплантов, — сказал Боун. — К сожалению, некоторые эксперты, далекие от мира кибербезопасности, не вникли в вопрос и сочли, что St. Jude Medical решила проблему своих устройств этим патчем, но это абсолютно не так».

Категории: кибероборона, Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *