De Amerikaanse Food and Drug Administration heeft een waarschuwing gepubliceerd over kwetsbaarheden in implanteerbare hartapparaten van St. Jude Medical, waaronder pacemakers. Daarmee zou een aanvaller commando's aan de apparaten kunnen versturen.
In de waarschuwing schrijft de FDA dat een aanvaller via een rf-verbinding (radiosignalen) contact kan maken met een apparaat en vervolgens bijvoorbeeld de accu kan laten leeglopen of een persoon schokken kan toedienen. Deze bevindingen zijn het resultaat van een onderzoek dat de organisatie zelf naar de veiligheid van de apparaten van St. Jude Medical heeft uitgevoerd. Dat richtte zich met name op de 'Merlin@home'-zenders, die via een rf-verbinding contact maken met een thuismonitor. Deze kan de gegevens vervolgens weer doorsturen naar de behandelende arts.
Patches
St. Jude Medical laat weten dat het patches voor de kwetsbare apparaten heeft uitgebracht. Het spreekt zelf van een 'zeer gering risico' dat aanvallers van de lekken gebruik zouden maken. Tot nu toe zouden er geen berichten zijn dat gebruikers slachtoffer werden van een aanval. De tekortkomingen in de producten van St. Jude Medical kwamen in eerste instantie naar voren in een onderzoek van het bedrijf MedSec.
Dat stelde dat St. Jude 'ver achterloopt op het gebied van beveiliging' en dat het geruime tijd niets heeft ondernomen om de veiligheid van zijn klanten te waarborgen. Zo zou het bedrijf sinds 2013 al op de hoogte zijn van de beveiligingsproblemen. St. Jude reageerde destijds op de bevindingen van MedSec en zei dat deze niet klopten.
Het is niet voor het eerst dat er kwetsbaarheden in apparaten als pacemakers zijn gevonden. Zo vond beveiligingsonderzoeker Barnaby Jack in 2012 al softwarelekken in pacemakers, die mogelijk met dodelijke gevolgen misbruikt konden worden. In oktober van vorig jaar waarschuwde het Amerikaanse bedrijf Johnson & Johnson voor kwetsbaarheden in een insulinepomp, nadat onderzoeker Jack dit in 2011 ook al deed voor apparaten van Medtronic. Ook onderzoekers van de KU Leuven meldden afgelopen november na onderzoek dat verschillende medische implantaten kwetsbaar zijn voor hackers.
