Zwei Hacker haben einen Hersteller von Herzschrittmachern und Insulinpumpen auf schwere Sicherheitslücken in dessen Produkten aufmerksam gemacht. Das Spektrum der Lücken reicht bis zur Installation manipulierter Firmware auf den Programmiergeräten zum Auslesen und Umprogrammieren der Herzschrittmacher – was dann natürlich zu im Zweifelsfall tödlichen Angriffen auf die implantierten Herzschrittmacher genutzt werden kann. Der Hersteller wurde vor 18 Monaten informiert, will aber dennoch kein Update liefern.

"Das war die frustrierendste Erfahrung meiner Karriere", sagt Billy Rios während der Präsentation, die er im Rahmen der Sicherheitskonferenz Black Hat in Las Vegas zusammen mit seinem Kollegen Jonathan Butts hielt. Die Kommunikation mit der US-Medizintechnikfirma Medtronic, die etwa Herzschrittmacher oder Insulinpumpen herstellt, gestaltete sich demnach als 18-monatige Hängepartie.

Anfang Januar 2017 meldeten die Hacker diverse Schwachstelle in den Produkten der Firma. Eine der Lücken erlaubt die Installation einer bösartig modifizierten Firmware auf allen Systemen zur Kontrolle der implantierten Herzschrittmacher einer der Medtronic-Serien. Unterbindet die modifizierte Firmware die vom Schrittmacher auszulösenden elektrischen Impulse, führt das in aller Regel zum Ableben des Patienten.

Unverschlüsselte Verbindung mit fest eingestellten Credentials

Wie Medtronic mitteilte, habe die Lücke keinen Einfluss auf das Wohl der Patienten. Daher sehe man keine Notwendigkeit, die Lücke per Update zu schließen. Das motivierte Rios und Butts letztendlich dazu, die Schwachstellen dennoch öffentlich zu machen. "Genug ist genug", sagte Rios.

Das Problem sitzt im Mechanismus, über den Medtronic-Geräte Software-Updates beziehen. Die zur Funk-Verbindung mit den Implantaten notwendigen Programmiergeräte Medtronic CareLink 2090 bauen einen VPN-Tunnel zum Software Distribution Network (SDN) des Hersteller auf, um von dort Updates zu beziehen. Der Prozess ist den Hackern zufolge gleich an mehreren Stellen brüchig: Nutzername und Passwort für die VPN-Einwahl sind auf den Programmern hinterlegt und lassen sich leicht auslesen. Die Updates selbst sind nicht digital signiert und werden zudem unverschlüsselt per HTTP zum Programmiergerät geschickt.

Aus rechtlichen Gründen konnten Rios und Butts das SDN von Medtronic nicht mit manipulierten Firmware-Images bestücken, um so die Gefahr zu demonstrieren. Stattdessen zeigte Rios live auf der Bühne, wie er das Programmiergerät dazu zwang, den VPN-Tunnel zum Notebook des Hackers aufzubauen. Die hierzu notwendige URL sowie die Anmeldedaten lassen sich von der Festplatte beziehungsweise aus dem Arbeitsspeicher des mit Windows XP betriebenen Programmiergerätes auslesen; mangels Signaturabfrage merkt das Gerät auch nicht, dass es gar nicht mit dem echten VPN-Gateway von Medtronic spricht. Anschließend schob Rios dem Programmiergerät eine neue Software unter, die einen Totenkopf und die Frage "Do you want to die?" ("Möchten Sie sterben?") anzeigte. Als Antwort auf die Frage gab es nur die Schaltfläche "Ja".

Kommunikations-Alptraum mit dem Hersteller

Wie desolat die Zusammenarbeit der Hacker mit Medtronic war, zeigt ein anderer gemeldeter Bug: Die von Medtronic zum Verteilen der Updates genutzte Software namens Marimba hat einen Directory-Traversal-Bug. Die Hacker konnten hierdurch beliebige Dateien vom Server herunterladen.

Acht Monate nach der ersten Meldung war Medtronic laut Jonathan Butts noch nicht mal in der Lage, den Bug zu reproduzieren: Das Unternehmen hatte bis dahin keine Anstrengung unternommen, eine Testumgebung aufzubauen. "Der Hersteller hat mehr Zeit damit verbracht, das Problem klein zu reden und den Informationsfluss zu kontrollieren, als sich um die Problembehebung zu kümmern", so Butts.

Auch die Insulinpumpen des Herstellers lassen sich manipulieren: Die Hacker schickten mittels des Software Definied Radios HackRF One Kommandos an eine Pumpe in der Nähe und konnten so Insulin in beliebiger Dosis abgeben – oder die Ausgabe komplett unterbinden. Da die Pumpe nur von einem Gerät mit einer bestimmten Seriennummer Kommandos entgegen nimmt, muss der Angreifer einen Teil der Nummer erraten. Nachdem der Teil maximal fünf Stellen hat, ist dies laut Rios aber nicht besonders schwer. (fab)