อุปกรณ์ Cardiograph ของ Philips อุปกรณ์ทางการแพทย์แน่นอน
Philips เป็นที่รู้จักในด้านการผลิตอุปกรณ์ PageWriter Cardiograph ระดับไฮเอนด์และมีประสิทธิภาพ หลังจากการค้นพบช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในอุปกรณ์เมื่อเร็ว ๆ นี้ซึ่งทำให้ผู้โจมตีสามารถปรับเปลี่ยนการตั้งค่าของอุปกรณ์เพื่อส่งผลต่อการวินิจฉัย Philips ได้กล่าวใน ICS-CERT ที่ปรึกษา ไม่ได้ตั้งใจที่จะตรวจสอบช่องโหว่เหล่านี้จนกว่าจะถึงฤดูร้อนปี 2019
อุปกรณ์ Cardiograph ของ Philips PageWriter รับสัญญาณผ่านเซ็นเซอร์ที่ติดอยู่กับร่างกายและใช้ข้อมูลนี้เพื่อสร้างรูปแบบและแผนภาพคลื่นไฟฟ้าหัวใจซึ่งแพทย์จะสามารถปรึกษาเพื่อสรุปการวินิจฉัยได้ กระบวนการนี้ไม่ควรมีการรบกวนใด ๆ ในตัวเองเพื่อให้มั่นใจถึงความสมบูรณ์ของการวัดที่ถ่ายและกราฟที่แสดง แต่ดูเหมือนว่าผู้ควบคุมสามารถมีอิทธิพลต่อข้อมูลนี้ด้วยตนเอง
ช่องโหว่มีอยู่ใน PageWriter ของ Philips รุ่น TC10, TC20, TC30, TC50 และ TC70 ช่องโหว่เกิดจากการที่ข้อมูลอินพุตสามารถป้อนได้ด้วยตนเองและฮาร์ดโค้ดในอินเทอร์เฟซส่งผลให้อินพุตไม่ถูกต้องเนื่องจากระบบของอุปกรณ์ไม่ตรวจสอบหรือกรองข้อมูลใด ๆ ที่ป้อนออกไป ซึ่งหมายความว่าผลลัพธ์จากอุปกรณ์มีความสัมพันธ์โดยตรงกับสิ่งที่ผู้ใช้ใส่ลงไปด้วยตนเองทำให้สามารถวินิจฉัยที่ไม่เหมาะสมและไม่มีประสิทธิภาพได้ การขาดการล้างข้อมูลมีส่วนโดยตรงต่อความเป็นไปได้ที่บัฟเฟอร์ล้นและช่องโหว่ของสตริงรูปแบบ
นอกจากข้อผิดพลาดของข้อมูลนี้ยังใช้ประโยชน์จากความเป็นไปได้แล้วความสามารถในการฮาร์ดโค้ดข้อมูลลงในอินเทอร์เฟซยังช่วยให้สามารถเข้ารหัสข้อมูลรับรองได้ยากอีกด้วย ซึ่งหมายความว่าผู้โจมตีที่รู้รหัสผ่านของอุปกรณ์และมีอุปกรณ์อยู่ในมือสามารถแก้ไขการตั้งค่าของอุปกรณ์ซึ่งทำให้เกิดการวินิจฉัยที่ไม่ถูกต้องโดยใช้อุปกรณ์
แม้ บริษัท จะตัดสินใจที่จะไม่ตรวจสอบช่องโหว่เหล่านี้จนกว่าจะถึงฤดูร้อนของปีหน้าคำแนะนำที่เผยแพร่ได้เสนอคำแนะนำบางส่วนเพื่อลดช่องโหว่เหล่านี้ แนวทางหลักในเรื่องนี้เกี่ยวข้องกับการรักษาความปลอดภัยทางกายภาพของอุปกรณ์: ตรวจสอบให้แน่ใจว่าผู้โจมตีที่เป็นอันตรายไม่สามารถเข้าถึงหรือจัดการกับอุปกรณ์ได้ นอกจากนี้คลินิกควรเริ่มการป้องกันส่วนประกอบในระบบของตนโดย จำกัด และควบคุมสิ่งที่สามารถเข้าถึงได้บนอุปกรณ์
