El gobierno de EE.UU. ha emitido una alerta sobre una falla importante en los desfibriladores cardiacos Medtronic que permiten a un atacante cercano cambiar la configuración del dispositivo cardíaco mediante la manipulación de las comunicaciones de radio entre él y los dispositivos de control.
El principal problema radica en el protocolo de telemetría inalámbrico de radiofrecuencia Conexus, propiedad de Medtronic, que se utiliza como parte de su sistema remoto de gestión de pacientes para la comunicación entre desfibriladores, dispositivos de monitoreo en el hogar y dispositivos de programación clínica.
Los investigadores descubrieron que el protocolo Conexus carece de cualquier forma de autenticación, lo cual significa que un atacante dentro del alcance de la radio, a unos 20 pies del dispositivo cardíaco del paciente, puede inyectar, reproducir, modificar e interceptar los datos de telemetría.
A la falla CVE-2019-6538 ha sido asignada una calificación de severidad de CVSS de 9.3 de un posible 10, según el aviso del Departamento de Seguridad Nacional (DHS) .
Un segundo defecto de menor gravedad que afecta al protocolo Conexus presenta una amenaza de privacidad potencialmente grave para los pacientes, ya que los datos transmitidos entre los dispositivos cardíacos y de control se realizan de forma clara.
A pesar de la gravedad de la falla de autenticación y el potencial de daños que pueden poner en peligro la vida, Medtronic y la FDA recomiendan que los pacientes continúen usando los dispositivos según lo prescrito.
