Medtronic ruft angreifbare Pumpen nach 2 Jahren zurück

  • Gerade auf Heise Online gelesen. Angeblich sind Betroffene auch per Post benachichtigt worden.

    Auf der enstspechenden Medtronic Seite sind auch die benannten Pumpen mit der ensprechenden Software Version gelistet.


    Meine 754 ist nicht dabei, da Software 3.1E 1.1

    Der Zynismus ist meine Rüstung, der Sarkasmus mein Schwert und die Ironie mein Schild.
    Und immer gerne respektlos :D


    Bayer Crop Science (Ex-Monsanto) sät und spritzt den Tod

    Einmal editiert, zuletzt von House ()

  • na, da haben aber zwei "Hacker" Billy Rios und Jonathan Butts wohl reichlich OpenAPS Quellcode studiert um die Medtronic Pumpe zu hacken....

    Ich glaube kaum, dass jemand noch seine alte Medtronic abgibt, ich hab meine damals für 500 gebraucht gekauft, genau deswegen.



    Ein Dank an die Hacker, die bekannte DIY Projekte als sogenannten gefährlichen Hack verkaufen, nur um mal was publizieren zu können.


    Das Medtronic sich damals bei den alten Pumpen gar nicht um Cybersecurity gekümmert hat ist ein anderes Thema, da waren nicht alle Hersteller so drauf.

  • Ich glaube kaum, dass jemand noch seine alte Medtronic abgibt, ich hab meine damals für 500 gebraucht gekauft, genau deswegen.

    Da bin ich ganz mir Dir!

    Ich frag mich sowieso, warum sie sich 2 Jahre Zeit ließen für die Entscheidung.

    Der Zynismus ist meine Rüstung, der Sarkasmus mein Schwert und die Ironie mein Schild.
    Und immer gerne respektlos :D


    Bayer Crop Science (Ex-Monsanto) sät und spritzt den Tod

  • Ich denke die Hacker sind hier im Forum etwas missverstanden worden. Es ist eine Sicherheitslücke, wenn eine Pumpe mit einem nur 5-stelligen Code (vermutlich nicht mal alphanumerisch) vor Fremdzugriff geschützt wird.

    Zum Kontakt zwischen Pumpe und Fernbedienung muss letztere die Seriennummer der Pumpe kennen. Nachdem diese lediglich fünfstellig ist, lasse sie sich per Brute Force relativ leicht ermitteln.

    Ein Schutz mit einem 12-stelligen Code wäre m.A. angemessen.

    Stellt euch mal vor eine wichtige Politikerin (z.B. Teresa May ehem. britische Premierministerin mit Typ1) wäre so leicht anzugreifen bzw. auszuschalten. Einfach in der Nähe auf der nicht durch den Eigentümer autorisierten Fernbedienung einen großen Bolus auslösen.

    Das ist für mich kein Gegenargument zum fernbedienten Loop, sondern nur gegen unbefugten Zugriff. Erschreckend wie Medtronic damit umgegangen ist!

    Seitdem ich Diabetes habe, weiß ich Schokolade erst richtig zu schätzen und zu lieben!
    Seit ich versuche meine Ernährung umzustellen hasse ich sie, da ich versuche sie nicht mehr zu essen!
    Seit ich zum Rauchen aufgehört habe, hab ich sieben Kilo zugenommen! - Aber zwischenzeitlich wieder 4 abgenommen ;-)
    Super, jetzt kann ich blad aber "gesund" sterben!

  • Dennoch dauert auch das "Raten" bei Bluetooth eine gewisse Zeit. Man müsste etwa 6 Stunden von jemandem mit Bluetooth Gerät verfolgt werden, bis jener alle Kombinationen durch hat.


    Statistisch ist die Trefferchance aber schon nach etwa einer Stunde raten bei über 50% für einen Treffer. Der Tod lauert an der Bushaltestelle oder im Supermarkt :batman:

  • Ist es nicht auch so dass man am Ende auf der Pumpe bestätigen muss, wenn man ein Gerät verbinden will?


    Ich denke eher dass die beiden den Pumpenträgern einen Bärendienst erwiesen haben.


  • Es ist eine Sicherheitslücke, wenn eine Pumpe mit einem nur 5-stelligen Code (vermutlich nicht mal alphanumerisch) vor Fremdzugriff geschützt wird.

    Für die Fernbedienung muß man eine 6-stellige Seriennummer eingeben. Nicht alphanumerisch. Beim Meßgerät auch, allerdings alphanumerisch.


    Man müsste etwa 6 Stunden von jemandem mit Bluetooth Gerät verfolgt werden, bis jener alle Kombinationen durch hat.

    6 Stunden bei der heutigen Technologie und mit erfahrenen Hackern? Das glaub ich erstmal nicht.


    Ist es nicht auch so dass man am Ende auf der Pumpe bestätigen muss, wenn man ein Gerät verbinden will?

    Muß man nicht. Hab heute mal die Fernbedienung rausgekramt. Allerdings bei jeder einzelnen ZIffer die man als Code eingeben muß, sprich Seriennummer, piept die Pumpe.

    Keine Ahnung, ob das von einem Angriff von außen auch so ist.

    Der Zynismus ist meine Rüstung, der Sarkasmus mein Schwert und die Ironie mein Schild.
    Und immer gerne respektlos :D


    Bayer Crop Science (Ex-Monsanto) sät und spritzt den Tod

  • Der Flaschenhals ist das Bluetooth, was für das aushandeln einer Verbindung eine gewisse Zeit benötigt.

  • Das ist schon klar, trotzdem bezweifel ich die 6 Stunden.

    Der Zynismus ist meine Rüstung, der Sarkasmus mein Schwert und die Ironie mein Schild.
    Und immer gerne respektlos :D


    Bayer Crop Science (Ex-Monsanto) sät und spritzt den Tod