Philips Kardiyograf Cihazı. Mutlak Tıbbi Ekipman
Philips, yüksek kaliteli ve verimli PageWriter Kardiyograf cihazları ürettiği için bilinir. Cihazlarında, tanıyı etkilemek için saldırganların cihazların ayarlarını değiştirmelerine olanak tanıyan siber güvenlik açıklarının yakın zamanda keşfedilmesinden sonra Philips, bir ICS-CERT'de tavsiye 2019 yazına kadar bu güvenlik açıklarına bakma niyetinde olmadığını.
Philips PageWriter Kardiyograf cihazları, vücuda bağlı sensörler aracılığıyla sinyalleri alır ve bu verileri, doktorun daha sonra bir tanıyı tamamlamak için başvurabileceği EKG kalıpları ve şemaları oluşturmak için kullanır. Bu işlem, alınan ölçümlerin ve gösterilen grafiklerin bütünlüğünü sağlamak için kendi içinde herhangi bir müdahaleye sahip olmamalıdır, ancak manipülatörlerin bu verileri manuel olarak etkileyebileceği görülmektedir.
Güvenlik açıkları, Philips'in PageWriter modellerinde TC10, TC20, TC30, TC50 ve TC70'de mevcuttur. Güvenlik açıkları, giriş bilgilerinin arabirime manuel olarak girilebilmesinden ve sabit kodlanabilmesinden kaynaklanmaktadır, bu da cihazın sistemi girilen verilerin hiçbirini doğrulamadığından veya filtrelemediğinden hatalı girişlere neden olmaktadır. Bu, cihazdan elde edilen sonuçların, kullanıcıların kendilerine manuel olarak koydukları ile doğrudan ilişkili olduğu anlamına gelir ve bu da uygunsuz ve verimsiz tanıya olanak tanır. Veri temizleme eksikliği, arabellek taşması olasılığına ve biçim dizisi güvenlik açıklarına doğrudan katkıda bulunur.
Bu veri hatası istismar olasılığına ek olarak, verileri arabirime sabit kodlama yeteneği, kimlik bilgilerinin sabit kodlanmasına da katkıda bulunur. Bu, cihazın şifresini bilen ve cihazı fiziksel olarak elinde bulunduran herhangi bir saldırganın, cihazı kullanarak yanlış tanıya neden olacak şekilde cihazın ayarlarını değiştirebileceği anlamına gelir.
Şirketin gelecek yılın yazına kadar bu güvenlik açıklarına bakmama kararına rağmen, yayınlanan danışma bu güvenlik açıklarının azaltılması için birkaç tavsiyede bulundu. Bunun için ana yönergeler, aygıtın fiziksel güvenliği etrafında dönmektedir: kötü niyetli saldırganların aygıta fiziksel olarak erişememesini veya aygıta müdahale edememesini sağlamak. Buna ek olarak, kliniklere sistemlerinde bileşen korumayı başlatmaları, cihazlarda nelere erişilebileceğini kısıtlamaları ve düzenlemeleri tavsiye edilir.
