Fuzzing the Pacemaker Home Monitoring Unit

Abstract

Ved introduksjonen av IoT-teknologi har vi sett en økning av antall enheter som er koblet på internett. Det preger også den medisinske verden, hvor denne teknologien blir benyttet for å sikre best mulig pasientbehandling. Med det økende antallet enheter som er koblet på nett, følger det også et større trusselbilde. Hackere kan potensielt utnytte nye angrepsvektorer med mål om å skade pasientens liv og helse, eller utnytte informasjonen til økonomisk vinning. I denne masteroppgaven gjør vi en sikkerhetsanalyse av den siste generasjonen hjemme-monitoreringsenhet (HMU) for pacemakere fra den tyske produsenten Biotronik. Arbeidet redegjør for enhetens sårbarheter som kan utnyttes av en angriper som ønsker å skade pasientens helse eller personvern. Masteroppgaven er todelt. Ved å følge en black-box metode for sikkerhetstesting, avdekkes det at HMUen har iboende mangler hva angår sikkerhet. Potensielt kan dette utnyttes til å utvikle mer omfattende angrep av angripere som har fysisk tilgang til HMUen. I det andre prosjektområdet testes SMS-implementasjonen til HMUen. For å avdekke sårbarheter i SMS-implementasjonen har vi utviklet et universelt SMS fuzzer-rammeverk. Dette verktøyet kan brukes til å teste SMS-implementasjoner til alle enheter som kan sende og motta SMS, hvor vi monitorerer fra nettverkets perspektiv. Koden for rammeverket er open source og bidrar til videre forskning innen cybersikkerhet. Våre funn bekrefter at SMS-implementasjonen har vesentlige sårbarheter. En rekke SMS-er viste seg å være i stand til å krasje modemet til HMUen. I sin tur kan dette brukes i et DoS-angrep på enheten. Til slutt presenterer vi teknikker og metoder for skadebegrensning av de identifiserte risikoområdene. SMS-meldingene vi avdekket er ikke spesifikke til HMUen, men kan krasje alle IoT-enheter som benytter samme modem. De påvirkede leverandørene er, i tråd med prinsippet om ansvarlig sårbarhetsformidling, blitt informert om funnene i studien.

With the advent of Internet of Things (IoT)-devices, an increasing number of devices are connected to the Internet. Within the medical world, this is no different. New technology is used to ensure the best possible treatment for patients. However, with this proliferation of Internet-connected devices, a broad attack-surface is opened. Cybercriminals can potentially leverage new attack vectors to monetize on illegal activities. In this thesis work, we set out to investigate whether the newest version of the pacemaker HMU from the German vendor Biotronik, contains vulnerabilities that can be exploited by an attacker wanting to compromise either the safety or the privacy of a patient. In the first scope of this research, by incorporating a black-box methodology, we found that the HMU, and its corresponding firmware version, has inherent hardware security deficits. These can possibly aid an attacker having physical access in developing sophisticated malware that impacts patients’ safety or privacy. In the second scope of this thesis, we scrutinized the SMS interface of the HMU. To uncover vulnerabilities in the SMS interface, we have developed a universally applicable SMS fuzzer framework. It can be used to fuzz the SMS interface of any device that implement the SMS protocol, with monitoring implemented at the network side. The code is made open source and is a contribution to the cybersecurity research community. Our research confirmed that the SMS interface is vulnerable, and we uncovered several SMS-messages that crashes the modem of the HMU. Moreover, we outline how these findings can be used to launch a remote Denial of Service (DoS) attack on the HMU. Our contributions include techniques for mitigation of the identified risks. The offending SMSs we uncovered are not unique to the HMU, but affects all IoT-devices with the same modem. The affected vendor has been contacted according to a coordinated vulnerability disclosure process.