फिलिप्स कार्डियोग्राफ़ डिवाइस। निरपेक्ष चिकित्सा उपकरण
फिलिप्स उच्च अंत और कुशल PageWriter कार्डियोग्राफ उपकरणों के उत्पादन के लिए जाना जाता है। हाल ही में अपने उपकरणों में साइबर सुरक्षा भेद्यता की खोज के बाद, जो हमलावरों को निदान को प्रभावित करने के लिए उपकरणों की सेटिंग में बदलाव करने की अनुमति देते हैं, फिलिप्स ने आईसीएस-सीईआरटी में कहा है सलाहकार यह 2019 की गर्मियों तक इन कमजोरियों को देखने का इरादा नहीं है।
फिलिप्स पेजवर्टर कार्डियोग्राफ डिवाइस शरीर से जुड़े सेंसर के माध्यम से सिग्नल लेते हैं और इस डेटा का उपयोग ईसीजी पैटर्न और आरेख बनाने के लिए करते हैं जो कि चिकित्सक तब निदान का निष्कर्ष निकालने के लिए परामर्श करने में सक्षम होता है। मापी गई और रेखांकन दर्शाए गए मापों की अखंडता को सुनिश्चित करने के लिए इस प्रक्रिया में अपने आप में कोई हस्तक्षेप नहीं होना चाहिए, लेकिन ऐसा लगता है कि मैनिपुलेटर इस डेटा को मैन्युअल रूप से प्रभावित करने में सक्षम हैं।
फिलिप्स की पेजराइटर मॉडलटीसी 10, टीसी 20, टीसी 30, टीसी 50 और टीसी 70 में कमजोरियां मौजूद हैं। भेद्यता इस तथ्य से उत्पन्न होती है कि इनपुट जानकारी को मैन्युअल रूप से दर्ज किया जा सकता है और इंटरफ़ेस में हार्ड कोडित किया जा सकता है जिसके परिणामस्वरूप अनुचित इनपुट होता है क्योंकि डिवाइस की प्रणाली किसी भी डेटा को दर्ज या सत्यापित नहीं करती है। इसका मतलब यह है कि डिवाइस से परिणाम सीधे सहसंबद्ध होते हैं, जो उपयोगकर्ता अनुचित और अक्षम निदान के लिए मैन्युअल रूप से अनुमति देते हैं। डेटा सैनिटाइजेशन की कमी बफर अतिप्रवाह और प्रारूप स्ट्रिंग कमजोरियों की संभावना में सीधे योगदान देती है।
इस डेटा त्रुटि के अलावा संभावना का दोहन, इंटरफ़ेस में हार्ड कोड डेटा की क्षमता के रूप में अच्छी तरह से क्रेडेंशियल की हार्ड कोडिंग के लिए उधार देता है। इसका मतलब यह है कि कोई भी हमलावर जो डिवाइस के पासवर्ड को जानता है और उसके पास भौतिक रूप से डिवाइस है, डिवाइस के अनुचित निदान के कारण डिवाइस की सेटिंग्स को संशोधित कर सकता है।
कंपनी के अगले साल की गर्मियों तक इन भेद्यताओं पर ध्यान नहीं देने के फैसले के बावजूद, प्रकाशित सलाहकार ने इन कमजोरियों के शमन के लिए कुछ सलाह दी हैं। इसके लिए प्रमुख दिशा-निर्देश डिवाइस की भौतिक सुरक्षा के इर्द-गिर्द घूमते हैं: यह सुनिश्चित करना कि दुर्भावनापूर्ण हमलावर भौतिक रूप से डिवाइस तक पहुंच या हेरफेर करने में सक्षम नहीं हैं। इसके अलावा, क्लीनिकों को सलाह दी जाती है कि वे अपने सिस्टम में कंपोनेंट प्रोटेक्शन की पहल करें, डिवाइस पर एक्सेस की जाने वाली चीजों को प्रतिबंधित और रेग्युलेट करें।