Durante a conferência de segurança Breakpoint em Melbourne (Austrália), o pesquisador da empresa IOActive Barnaby Jack revelou que transmissores marca-passo (dispositivos de aplicação médica que têm o objetivo de regular os batimentos cardíacos) podem ser programados para dar choques mortais.
Segundo o especialista, a falha está relacionada com a programação dos transmissores sem fio usados para dar instruções aos marca-passos e aos cardioversores-desfibriladores implantáveis (ICD), que detectam contrações irregulares do coração e provocam um pequeno choque elétrico para evitar um ataque cardíaco.
No passado, os marca-passos eram reprogramados por médicos, mas a tendência agora é usar transmissões sem fios. Vários fabricantes de produtos médicos vendem transmissores com um razoável alcance (radiofrequências na faixa dos 400 MHz), que, segundo Jack, torna os ataques remotos contra o software mais viáveis por causa da vasta amplitude de transmissão.
Jack usou um laptop para enviar remotamente uma série de choques de 830 volts (mortais) a um marca-passo, usando algum tipo de função “secreta” dos dispositivos, que ele não revelou para não dar ideias a algum psicopata. O vídeo de demonstração também não foi divulgado para proteger a marca dos aparelhos usados.
De acordo com Jack, essa função poderia ser usada para ativar todos os marca-passos e desfibriladores implantáveis dentro de um raio de 10 a 15 metros. Usando algo tão simples quanto um comando especial, o cometimento de um “assassinato anônimo” seria possível, e, no pior dos cenários, assassinatos em massa também.
Em sua demonstração, ele foi capaz de descobrir o modelo e número de série de cada dispositivo. Usando engenharia reversa nos terminais – que se comunicam com os marca-passos – ele conseguiu facilmente obter nomes de usuário e senhas até dos servidores do fabricante do produto. Esses dados poderiam ser utilizados para reprogramar o “firmware” do transmissor, que poderia se espalhar entre todos os marca-passos do mundo com “potencial para cometer assassinato em massa”.
“O pior cenário que eu posso pensar, 100% possível com esses dispositivos, seria carregar uma atualização de firmware comprometida em um programador e o programador comprometido, então, infectar o próximo marca-passo ou ICD, e então cada um posteriormente infectaria todos os outros da série”, explica Jack. No fim, todos os usuários de marca-passo poderiam sofrer choques mortais.
Jack afirma que seu objetivo não é causar danos ou ensinar alguém a fazê-lo, mas sim ajudar os fabricantes a melhorar a segurança de seus dispositivos. Com uma tensão máxima de 830 volts, este é um recurso bastante mortal que não só poderia induzir parada cardíaca, mas prejudicar muito mais pessoas e empresas.[Gizmodo, POPSCI, SCMagazine]