Hartimplantaten zijn kwetsbaar voor amateurhackers zegt de FDA

Amateurhackers kunnen met je hart spelen. Letterlijk. Pacemakers, defibrillatoren en andere apparaten die worden gefabriceerd door St. Jude Medical, een medisch apparatenbedrijf uit Minnesota, zou het leven van patiënten in gevaar kunnen hebben gebracht. De dag dat de FDA waarschuwde voor het veiligheidsrisico werd er een patch vrijgegeven om de kwetsbaarheden af te dekken.

Er zijn meerdere kwetsbaarheden bevestigd die hackers op afstand toegang kunnen geven tot een geïmplanteerd hartapparaat. Vervolgens kunnen ze de hartslag aanpassen, schokken toedienen en de batterij snel laten leeglopen. Er zijn tot maandag in ieder geval geen gevallen gemeld waarbij de kwetsbaarheden tot schade bij patiënten hebben geleid, volgens de FDA.

De hartimplantaten van St. Jude Medical worden onder de huid aangebracht, in het bovenste deel van de borst, en hebben geïsoleerde draden die het hart ingaan om het correct te helpen kloppen als het hartritme te snel of te langzaam is.

Ze werken samen met de Merlin@home Transmitter, gelokaliseerd in het huis van de patient, die de patiëntendata naar de arts stuurt via het Merlin.net Patient Care Network.

Hackers zouden misbruik kunnen hebben gemaakt van de transmitter, bevestigde de fabrikant. "Het zou gebruikt kunnen worden om de programmering van het geïmplanteerde apparaat te modificeren," staat in de veiligheidsbriefing van de FDA.

In een e-mailreactie aan Motherboard, merkte een vertegenwoordiger van St. Jude Medical op dat het bedrijf "meerdere maatregelen heeft genomen om de veiligheid en betrouwbaarheid van de apparaten te beschermen." Inclusief een nieuwe patch en de oprichting van een "cyber security medical advisory board." Het bedrijf is van plan meer updates te doen later in 2017, aldus de e-mail.

Deze waarschuwing komt een paar dagen nadat Abbott Laboratories St. Jude Medical overkocht, en 4 maanden nadat een groep experts van het cyberveiligheidbedrijf MedSec Holding een paper publiceerde. In het paper worden verschillende kwetsbaarheden die het bedrijf vond in St. Jude Medical's pacemakers en defibrillatoren toegelicht. St. Jude Medical deed de aankondiging aan het eind van augustus 2016, samen met investeerder Muddy Waters Capital.

"Merlin@homes heeft zelfs niet de meest elementaire veiligheid," beweerde het paper. MedSec experts schreven: "Cruciale kwetsbaarheden kunnen blijkbaar worden misbruikt door amateurhackers. Ongelofelijk genoeg heeft STJ letterlijk duizenden 'sleutels' uitgedeeld in de vorm van de thuismonitoren ("Merlin@home") die naar onze mening het STJ-ecosysteem wijd openzetten voor aanvallen. Deze monitoren zijn ruim beschikbaar op Ebay, meestal voor minder dan 30 euro."

In eerste instantie ontkende St. Jude Medical de claims, en klaagde het Muddy Waters en MedSec zelfs aan. "De aantijgingen zijn absoluut onwaar," zei CTO Phil Ebeling tegen Bloomberg. "Er zijn meerdere beveiligingslagen aangebracht. We voeren op regelmatige basis veiligheidstests uit met externe experts, specifiek met Merlin@home en al onze andere apparaten." St. Jude weigerde in te gaan op de lopende rechtszaak.

Toch is Muddy Waters nog niet blij met de recente update. Zij claimen dat St. Jude Medical zich meer interesseren voor winst dan voor patiënten. "De aangekondigde fixes lijken de grotere problemen niet te adresseren, inclusief het bestaan van een universele code die hackers de mogelijkheid geeft de implantaten te controleren," in een persbericht. "Als wij niet publiek waren gegaan, zou St. Jude de kwetsbaarheden niet hebben gedicht."

De meest recente patch is beschikbaar en zal automatisch worden gedownload naar de transmitter. "Patiënten moeten ervoor zorgen dat hun Merlin@home apparaat is ingeplugd en verbonden via een landkabel of een cellulaire adapter zodat ze de noodzakelijk updates kunnen blijven ontvangen," schreef St. Jude Medical in een persstatement.

Dit is niet de eerste keer dat artsen en cyberveiligheidexperts hun zorgen hebben geuit over geïmplanteerde medische apparaten. Voormalig Vice-President van Amerika Dick Cheney heeft een paar jaar geleden de draadloze functie van zijn hartimplantaat uitgeschakeld, uit angst voor een liquidatiepoging.