Bluetooth Sicherheitslücke

Cindbar · 14. September 2017

Kürzlich wurde eine Sicherheitslücke entdeckt, von der wohl auch Insulinpumpen (Dana R, Accu-Check Combo, Insight) und alle CGM Systeme und Blutzuckermessgeräte mit Bluetooth betroffen sein können. Aber auch Android Handys und normale Computer sind angreifbar. Medtronic Pumpen und CGM kommunizieren ja nicht über Bluetooth, aber das Guardian Connect. Allerdings soll Bluetooth BLE nicht betroffen sein. Vielleicht ist die Situation bei vielen Diabetes Geräten deshalb gar nicht gefährlich?

Hinweise gibt es beim BSI https://www.bsi.bund.de/DE/Pre…th_Blueborn_13092017.html oder in der Presse, z. B. https://www.golem.de/news/blue…bernahme-1709-130011.html

Für Android gibt es ein Prüfprogramm, dass das Handy selbst überprüft und auch Geräte, die sich im Umfeld befinden scannt. https://play.google.com/store/….armis.blueborne_detector

Es wäre interessant, wenn ihr Pumpen, BZ-Messgeräte oder CGMs mit Bluetooth habt, wenn ihr die Sicherheits-Testergebnisse hier posten würdet.

Cindbar · 16. September 2017

Zitat von Cindbar

Es wäre interessant, wenn ihr Pumpen, BZ-Messgeräte oder CGMs mit Bluetooth habt, wenn ihr die Sicherheits-Testergebnisse hier posten würdet.

Hat keiner so eine Bluetooth Pumpe mit Fernbedienung oder BZ-Messgerät?

Grounded · 16. September 2017

Das Problem ist eher, dass medizinische Geräte nicht mal eben gepatched werden dürfen. Selbst wenns eigentlich ne einfache Sache wäre....

wurzelsepp · 16. September 2017

Zitat von Grounded

Das Problem ist eher, dass medizinische Geräte nicht mal eben gepatched werden dürfen. Selbst wenns eigentlich ne einfache Sache wäre....

Die Frage ist auch wie das z. B. bei einer Insulinpumpe machen willst?
Einschicken zum Hersteller und dort patchen und dann zurück zum Patienten?

Selbst patchen vor Ort ist keine Option weil was passiert wenn dabei ein Fehler auftritt und die Pumpe nicht mehr läuft? Notfalltausch der Pumpe?

Grounded · 16. September 2017

Ein patch @ Home kann schiefgehen. Beim Einsenden hast du aber das definitiv das Problem "was nun".

FraOrolo · 16. September 2017

Zitat von Cindbar

Kürzlich wurde eine Sicherheitslücke entdeckt, von der wohl auch Insulinpumpen (Dana R, Accu-Check Combo, Insight) und alle CGM Systeme und Blutzuckermessgeräte mit Bluetooth betroffen sein können. Aber auch Android Handys und normale Computer sind angreifbar. Medtronic Pumpen und CGM kommunizieren ja nicht über Bluetooth, aber das Guardian Connect. Allerdings soll Bluetooth BLE nicht betroffen sein. Vielleicht ist die Situation bei vielen Diabetes Geräten deshalb gar nicht gefährlich?

Hinweise gibt es beim BSI https://www.bsi.bund.de/DE/Pre…th_Blueborn_13092017.html oder in der Presse, z. B. https://www.golem.de/news/blue…bernahme-1709-130011.html

Für Android gibt es ein Prüfprogramm, dass das Handy selbst überprüft und auch Geräte, die sich im Umfeld befinden scannt. https://play.google.com/store/….armis.blueborne_detector

Es wäre interessant, wenn ihr Pumpen, BZ-Messgeräte oder CGMs mit Bluetooth habt, wenn ihr die Sicherheits-Testergebnisse hier posten würdet.

Alles anzeigen

Naja, so trivial sind Hacks mit Machine Code Injection in eine unbekannte Hardware nicht grad, dagegen wird auch meist ASLR implementiert, was die Sache noch mal komplizierter macht.
Ich glaube dass es sicher ein paar interessierte Leute gibt, die einen Angriff auf gängige Android-Plattformen programmieren und mit eigenen Geräten testen können.
Aber sowohl das Interesse als auch die geringe Verfügbarkeit sprechen gegen einen Angriff auf BT-enabled Diabetes-Equipment.

LG
Martin

Teilen