جهاز تخطيط القلب من Philips. المعدات الطبية المطلقة
تشتهر Philips بإنتاجها أجهزة قياس القلب PageWriter المتطورة والفعالة. بعد الاكتشاف الأخير للثغرات الأمنية السيبرانية في أجهزتها والتي تسمح للمهاجمين بتغيير إعدادات الأجهزة للتأثير على التشخيص ، تقدمت Philips قائلة في ICS-CERT استشاري أنها لا تعتزم النظر في نقاط الضعف هذه حتى صيف عام 2019.
تأخذ أجهزة Philips PageWriter Cardiograph الإشارات من خلال أجهزة استشعار متصلة بالجسم وتستخدم هذه البيانات لإنشاء أنماط ومخططات لتخطيط القلب يمكن للطبيب الرجوع إليها بعد ذلك لإتمام التشخيص. لا ينبغي أن يكون لهذه العملية أي تدخل في حد ذاتها لضمان سلامة القياسات التي تم أخذها والرسوم البيانية الموضحة ، ولكن يبدو أن المتلاعبين قادرون على التأثير على هذه البيانات يدويًا.
توجد الثغرات الأمنية في نماذج PageWriter من Philips و TC10 و TC20 و TC30 و TC50 و TC70. تنشأ الثغرات الأمنية من حقيقة أنه يمكن إدخال معلومات الإدخال يدويًا وترميزها بشكل ثابت في الواجهة مما يؤدي إلى إدخال غير صحيح لأن نظام الجهاز لا يتحقق من أي من البيانات المدخلة أو يصفيها. هذا يعني أن النتائج من الجهاز ترتبط ارتباطًا مباشرًا بما يضعه المستخدمون يدويًا مما يسمح بالتشخيص غير السليم وغير الفعال. يساهم الافتقار إلى تعقيم البيانات بشكل مباشر في إمكانية تجاوز سعة المخزن المؤقت وتنسيق الثغرات الأمنية في السلسلة.
بالإضافة إلى إمكانية استغلال خطأ البيانات هذا ، فإن القدرة على تثبيت بيانات التعليمات البرمجية في الواجهة تفسح المجال للترميز الثابت لبيانات الاعتماد أيضًا. هذا يعني أن أي مهاجم يعرف كلمة مرور الجهاز ولديه الجهاز في متناول اليد يمكنه تعديل إعدادات الجهاز مما يتسبب في تشخيص غير صحيح باستخدام الجهاز.
على الرغم من قرار الشركة بعدم النظر في هذه الثغرات الأمنية حتى صيف العام المقبل ، فقد قدم الاستشارة المنشورة بعض النصائح للتخفيف من نقاط الضعف هذه. تدور الإرشادات الرئيسية لهذا الأمر حول الأمان المادي للجهاز: ضمان عدم تمكن المهاجمين الضارين من الوصول المادي إلى الجهاز أو معالجته. بالإضافة إلى ذلك ، يُنصح العيادات ببدء حماية المكونات في أنظمتها ، وتقييد وتنظيم ما يمكن الوصول إليه على الأجهزة.
