La Food and Drug Administration (FDA) degli Stati Uniti lo scorso mese ha approvato una patch del firmware per pacemaker fatta da Abbott’s (precedentemente St Jude Medical) che però è risultata vulnerabile agli attacchi di cybersecurity e che mette a rischio di improvvisa perdita di potenza della batteria i pacemaker.
Circa 465.000 pazienti sono colpiti da questo pericolo. La FDA raccomanda che tutti i pazienti interessati ottengano l’aggiornamento del firmware “alla successiva visita programmata o, se del caso, in base alle preferenze del paziente e del medico”.
I pacemaker sono piccoli dispositivi utilizzati per aiutare a sistemare i battiti cardiaci irregolari. Le vulnerabilità della cibersicurezza sono state riscontrate nei defibrillatori cardioverter impiantabili (ICD) e nei defibrillatori per terapia di resincronizzazione cardiaca (CRT-D) di Abbott.
A settembre 2016, la società Abbott’s citò la società di sicurezza Internet of Things (IoT) MedSec per diffamazione dopo che aveva pubblicato articoli che dichiaravano che la St Jude avrebbe dato false informazioni sui bug nelle sue apparecchiature.
Nel gennaio 2017, cinque mesi dopo che la FDA e il Dipartimento della Sicurezza Nazionale (DHS) hanno pubblicato notizie in cui si affermava che i pacemaker e la tecnologia di monitoraggio cardiaco di St Jude Medical erano vulnerabili ad attacchi potenzialmente letali, i consulenti di sicurezza di Bishop Fox hanno confermato la validità delle scoperte di MedSec. L’azienda ha quindi dovuto pubblicare una serie di correzioni di sicurezza.
Gli aggiornamenti di gennaio riguardavano il sistema di monitoraggio remoto Merlin, che viene utilizzato con pacemaker e defibrillatori impiantabili.
All’epoca, l’esperto di crittografia Matthew Green, un assistente professore alla Johns Hopkins University, descriveva lo scenario di vulnerabilità del pacemaker come un vero e proprio incubo.
Ha pubblicato una serie di tweet sull’argomento, inclusi questi messaggi:
Il problema è che i comandi critici: shock, aggiornamenti firmware del dispositivo ecc. Dovrebbero provenire solo dal programmatore ospedaliero 5 /
Sfortunatamente SJM non ha usato una autenticazione forte. Risultato: qualsiasi dispositivo che conosca il protocollo (compresi i dispositivi domestici) può inviare comandi 6 /
E peggio, possono inviare questi comandi (potenzialmente pericolosi) via RF da una certa distanza. Non lasciando traccia. 7 /
Nello specifico, i dispositivi utilizzano l’autenticazione RSA a 24 bit, ha scritto: “No, non è un errore di battitura.” Oltre all’autenticazione debole, St Jude ha incluso anche un codice fisso di override a 3 byte, ha detto Green.
Adesso sto piangendo.
Ad oggi, non sono noti resoconti di pazienti danneggiati a causa di vulnerabilità della sicurezza, sia nei sistemi Merlin che negli ICD e CRT-D trattati nel più recente advisory sulla sicurezza. Ecco l’elenco di questi dispositivi:
- Current
- Promote
- Fortify
- Fortify Assura
- Quadra Assura
- Quadra Assura MP
- Unify
- Unify Assura
- Unify Quadra
- Promote Quadra
- Ellipse
Fortunatamente, l’aggiornamento non comporta la chirurgia a cuore aperto, anche se richiede una visita di persona presso l’ambulatorio di un operatore sanitario. Non può essere fatto da casa tramite Merlin.net. L’aggiornamento del firmware richiede tre minuti, durante i quali il pacemaker opererà in modalità backup, con una stimolazione a 67 battiti al minuto.
Abbott ha detto che con qualsiasi aggiornamento del firmware, c’è sempre un rischio “molto basso”. Sulla base della precedente esperienza di aggiornamento del firmware della società da una release del firmware del pacemaker di agosto 2017 e delle somiglianze nel processo di aggiornamento, Abbott ha affermato che l’installazione del firmware aggiornato su ICD e CRT-D potrebbe potenzialmente causare i seguenti malfunzionamenti:
- Disagio dovuto alle impostazioni di pacing di backup VVI
- Ricarica della versione firmware precedente a causa di un aggiornamento incompleto
- Incapacità di trattare la tachicardia / fibrillazione ventricolare in modalità back-up
- Il dispositivo rimane in modalità di backup a causa di un aggiornamento non riuscito
- Perdita delle impostazioni del dispositivo attualmente programmate o dei dati diagnostici
La FDA ha dichiarato che non è successo nulla ai pazienti in quell’aggiornamento del firmware dell’agosto 2017. Circa lo 0,62% dei dispositivi ha riscontrato un aggiornamento incompleto ed è rimasto in modalità di stimolazione di backup, ma in tutti questi casi, i dispositivi sono stati ripristinati alla versione firmware precedente o hanno ricevuto l’aggiornamento correttamente dopo l’intervento dei Servizi tecnici.
La FDA afferma che una modifica tecnica da parte dell’azienda dovrebbe ridurre la frequenza di questi piccoli problemi di aggiornamento. Inoltre, una piccola percentuale (0,14%) dei pazienti lamentava una stimolazione diaframmatica o un disagio generale per il tempo in cui il dispositivo si trovava nella modalità di stimolazione di backup. Non sono stati segnalati casi ad Abbott in cui il dispositivo è rimasto in modalità backup dopo un tentativo di aggiornamento del firmware.