Сведения об этой уязвимости опубликовала инвестиционная фирма Muddy Waters при участии медицинских специалистов из компании MedSec. Авторы публикации утверждали, что Merlin@home лишен даже самых базовых средств защиты, и «может эксплуатироваться на каждом уровне технологической цепочки кардиологических устройств St. Jude».
Исследователи утверждают, что любые устройства St. Jude Medical, которые используются вместе с Merlin@home, можно хакнуть: передатчик обменивается данными с кардиоустройствами, используя незащищенный протокол, который очень легко взломать. Экспертам MedSec удалось без труда получить администраторский (root) доступ к программным компонентам Merlin@home. При наличии рут-доступа хакеры могут заставить кардиоимплантаты работать неправильно, создавая всамделишный риск для жизни пациента, утверждают эксперты.
Отступление от традиционной практики
Эксперты MedSec утверждают, что изучали устройства St. Jude в течение 18 месяцев. Вопреки общепринятой практике, результаты исследования были представлены не руководству St. Jude, а почему-то инвестиционной фирме Muddy Waters, которая и сделала их всеобщим достоянием.
St. Jude Medical закрыла брешь в своем ПО, позволяющую проводить кибератаки на кардиостимуляторы