Обновления отключены для обеспечения безопасности

Ирландская компания Medtronic, известный производитель медицинской техники, отключила автоматическое обновление ПО некоторых своих устройств через интернет, объяснив это соображениями безопасности. Это может звучать достаточно абсурдно, поскольку обычно соображения безопасности как раз требуют постоянного обновления ПО, но никакой ошибки в данном случае нет. Речь идет об устройствах Carelink 2090 и Carelink Encore 2091, которые относятся к так называемым программаторам. Они применяются медиками для доступа к имплантированным ранее кардиостимуляторам, проверки уровня их батарей, изменения настроек и т.д.

Специалисты Medtronic обнаружили уязвимость этих программаторов, связанную с недостаточной проверкой обновлений ПО. Она потенциально позволяет злоумышленникам выдать вредоносные программы за обновления от разработчика и, установив их, повлиять затем на работу кардиостимуляторов. Случаев эксплуатации уязвимости хакерами не выявлено, но бдительность в данном случае точно не является чрезмерной. Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) одобрило решение Medtroniс и сообщило, что врачи могут продолжать использовать программаторы Carelink 2090 и Carelink Encore 2091. При этом до устранения уязвимости необходимые обновления ПО будут загружаться на устройства вручную с USB-носителей техническим персоналом Medtronic.