Security Analysis of the Pacemaker Home Monitoring Unit: A BlackBox Approach

Abstract

With the fast rise of Internet of Things (IoT), electronics systems are more and more connected, exposing new attack surfaces on devices responsible for human life, such as automobiles or medical devices. While companies in these areas are keeping the internals of their devices closedsource, the consumer or patient has no other choice than to trust the manufacturers when it comes to their security. Pacemaker monitoring systems have been on the market for several years now and are no exception to this rule. Previous research on the security of these monitoring systems indicates that they often have vulnerabilities that can be exploited by malicious adversaries in order to threaten the patient’s life and privacy. This Master’s thesis investigates the security of the Biotronik’s Home Monitoring Unit, motivated by the absence of publicly available research on it. It was hypothesized that the Biotronik’s HMUs contain security vulnerabilities that might help an attacker with physical access to the device to get patients’ personal data or to be a threat to patients’ safety. We conducted a Black Box Testing approach of the HMU’s security and used off-the-shelves equipment along with open-source software to simulate the scenario of an external attacker having little knowledge about the device. The details of our work will be provided to the vendor to follow a coordinated vulnerability disclosure process. The research findings confirm that an attacker having physical access to the HMU has the ability to threaten both the patient’s privacy and safety. We also showed that no special skills nor expensive equipments are required to perform the attacks. Our technical findings open the door to more work on the communication link between the HMU and the pacemaker, as long as future work on Biotronik’s last generation of HMU. Our results also shed light on the importance for medical device manufacturers to consider security at every layer of their product and thus to include security as part of their development cycle.

Oppblomstringen av Internet of Things (IoT) har ført til at elektroniske systemer har blitt mer or mer sammenkoblede, noe som åpner opp for nye angrepsflater for enheter som er ansvarlige for menneskeliv, for eksempel biler eller medisinsk utstyr. Leverandørene av slike enheter holder detaljene rundt implementeringen for seg selv, slik at forbrukeren eller pasienten ikke har et annet valg enn å stole på produsentene når det gjelder sikkerhet rundt produktet. Overvåkningssystemer for pacemakere har vært på markedet i flere år og er ingen unntak fra dette. Tidligere forskning på sikkerheten rundt slike overvåkningssystemer antyder at enhetene ofte inneholder sårbarheter som kan utnyttes av ondsinnede angripere og dermed true pasientens liv og personvern. Denne masteroppgaven tar for seg undersøkelser av sikkerheten rundt hjemmeovervåkningsenheter (HMU) fra Biotronik, og er motivert av mangelen på offentlig tilgjengelig forskning på disse enhetene. Hypotesen var at HMUer fra Biotronik inneholder sårbarheter som kan hjelpe en angriper som har fysisk tilgang til enheten til å få tak i persondata fra pasienter eller å være en trussel mot pasientens sikkerhet. Vi gjennomførte tester av sikkerheten rundt HMUene med en Black Box-tilnærming, og hyllevareutstyr ble brukt sammen med opensource programvare for å simulere et scenario med en ekstern angriper som hadde lite kunnskap om enheten. Detaljer rundt arbeidet vårt vil bli videreformidlet til leverandøren. Funnene fra forskningen bekrefter at en angriper med fysisk tilgang til en HMU, har evnen til å true både pasientens konfidensialitet og sikkerhet. Vi viste også at verken spesielle ferdigheter eller dyrt utstyr er nødvendig for å utføre angrepene. Våre tekniske funn åpner dører for videre arbeid rundt kommunikasjonskanalen mellom HMU og pacemakeren, i tillegg til videre arbeid på siste generasjon av HMUer fra Biotronik. Vårt arbeid kaster også lys på viktigheten av at produsenter av medisinsk utstyr tar sikkerhet på alvor ved å inkludere det som en del av utviklingssyklusen.