Pacemakers en implanteerbare hartapparaten van fabrikant Medtronics maken gebruik van een onveilig telemetrieprotocol en zijn hierdoor kwetsbaar voor aanvallen, zo waarschuwt de Amerikaanse overheid. Een aanvaller in de buurt van een slachtoffer kan hierdoor op afstand de pacemaker manipuleren.

Voor de communicatie tussen monitoringapparaten en pacemakers wordt er gebruik gemaakt van het draadloze Conexus-telemetrieprotocol. Via dit protocol, dat werkt via radiofrequenties, kunnen programmeer- en monitoringapparaten data van de pacemakers uitlezen en de instellingen aanpassen. Het protocol maakt echter geen gebruik encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon de pacemaker of programmeer- en monitoringapparaten op afstand manipuleren, aldus de Amerikaanse toezichthouder FDA.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,3 beoordeeld. Het onversleuteld versturen van gevoelige gegevens kreeg een score van 6,5. Medtronic zou inmiddels aan beveiligingsupdates werken, maar wanneer die verschijnen is nog niet bekend (pdf). De fabrikant adviseert patiënten om de pacemakers en monitoringapparaten te blijven gebruiken. “De voordelen van remote monitoring zijn groter dan de praktische risico’s dat deze kwetsbaarheden worden misbruikt.”