Twee beveiligingsonderzoekers hebben medische apparatuur van Philips onderzocht en vonden kwetsbaarheden waarmee ze op afstand over te nemen zijn, meldt Dark Reading. Philips laat echter weten dat machines niet daadwerkelijk te bedienen zijn via het lek in XPER.

Zulke apparatuur is niet vrijelijk beschikbaar, maar via een handelaar konden ze een röntgenmachine bemachtigen om die te onderzoeken. "Met deze machine hebben ze een kwetsbaarheid in informatiesysteem XPER gevonden", vertelt woordvoerder Steve Klink van Philips. De nieuwste versie van de software die nu in gebruik is, zou niet vatbaar zijn voor de exploit.

Administratierechten op XPER

Onderzoekers Teryy McCorkle en Billy Rios wisten beslag te leggen op een een röntgenapparaat. Ze maakten een image van de harde schijf en lieten er forensische tools op los om zwakheden te vinden. Met een eenvoudige fuzz-methode kregen ze naar eigen zeggen administratierechten op het XPER-informatiesysteem, omdat deze volgens het duo zwakke remote-authenticatie heeft.

Ook medische apparatuur van andere fabrikanten als Siemens, GE en Honeywell zouden even kwetsbaar zijn voor aanvallen. De machines zijn gekoppeld aan databases, waardoor ze toegang bieden tot allerlei medische gegevens.

De twee gaven hun bevindingen door aan ICS-CERT, de Amerikaanse cyberdienst voor industriële controlesystemen. Deze dienst gaat inmiddels ook over medische apparatuur. Daarnaast is het duo naar Philips gestapt om het probleem aan te kaarten.

IT-beveiliging leeft niet

McCorkle wijst erop dat in de medische wereld IT-beveiliging nog niet genoeg leeft. Zo ontdekte hij een demo-account van een iPad-app die artsen gebruiken om patiënten te monitoren. Daarvoor draait een test-server. “Dus ze delen accounts. Dat zegt me dat ze geen beveiliging-mindset hebben", aldus de onderzoeker.

Al eerder demonstreerde een hacker hoe een insulinepomp van Medtronics op afstand benaderd kon worden om de instellingen te wijzigen. Zo kon onder meer de toegediende dosis worden aangepast. Deze apparatuur werkt met een draadloze verbinding om ze aan te sturen en met eigen apparatuur is op dat signaal in te breken om patiënten bijvoorbeeld een overdosis te bezorgen.

Update 13.01 uur: Woordvoerder Steve Klink van Philips laat weten dat via de kwetsbaarheid het XPER-informatiesysteem te benaderen is. Hierdoor kan dus wel data worden bekeken, maar de medische apparatuur zelf is niet te bedienen. De tekst van dit bericht is aangepast om dat weer te geven.