Security Analysis of the Mobile Applications Used in the Pacemaker Ecosystem
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3092835Utgivelsesdato
2023Metadata
Vis full innførselSamlinger
Sammendrag
Vår økende tilkobling på internett har ført til en teknologiavhengighet, som øker raskere enn vi er i stand til å sikre den. Dette medfører betydelige risikoer for personer som bruker disse enhetene. Pacemaker-industrien kobler sine livskritiske enheter til internett for å forbedre livskvaliteten, noe som resulterer i nye angrepsflater. Forskere har klart å finne sårbarheter og svake sikkerhetstiltak i pacemakere, og selskaper som produserer disse enhetene har blitt avslørt for å ikke ha gode sikkerhetsrutiner. Den nyeste innovasjonen innenfor dette feltet introduserer mobilapplikasjoner som er koblet til pacemakeren, for å gi informasjon til pasienten. Appen gir fordeler i form av pasientovervåking og tilgjengelighet til data. Imidlertid introduserer den også nye angrepsvektorer som kan true sikkerheten og personvernet til pasienten. I denne oppgaven undersøker vi mobilapplikasjoner som brukes i pacemaker-økosystemet, med fokus på sikkerheten til pasienten. Vi gjennomfører en trusselmodellering av økosystemet til hver mobilapplikasjon for å identifisere og analysere forskjellige trusler som potensielt kan eksistere i det nye økosystemet. Vi utfører deretter en sikkerhetsanalyse av mobilapplikasjonene for å finne potensielle sårbarheter som kan utnyttes av en angriper. Resultatene beskriver nye angrepsflater som påvirker pasientens personvern, for eksempel utdaterte signaturalgoritmer, svake regler for passord og muligheten for å utgi seg for å være en mobilapplikasjon. Disse resultatene sammenlignes med det gamle pacemaker-økosystemet, som inkluderer en maskinvareenhet som den dedikerte kommunikasjonsporten. Vi har i tillegg utført innsamling av brukerinnsikt. Dette er gjennomført med en spørreundersøkelse som er sendt ut til pasienter med pacemaker. Det viser seg at at respondentene var positive til mobil applikasjonene, men at deres vaner og bevissthet kan redusere sikkerhetsnivået. Våre funn bidrar til økt forståelse av mobilapplikasjoner som er koblet til medisinsk utstyr og det gis ny og verdifull innsikt på dette området. I tillegg understreker vi viktigheten av å gjennomføre omfattende sikkerhetstesting av disse mobilappene og analysere potensielle konsekvenser før de tas i bruk, ettersom disse mobilappene håndterer personlig og sensitiv informasjon. Sikkerhetstesting er derfor ikke bare en anbefalt praksis, men en kritisk nødvendighet. Our increasing connectivity on the Internet has led to a technology dependence, which is growing faster than our ability to secure it. This poses significant risks for people using these devices. The pacemaker industry connects its life-critical devices to the Internet to improve the quality of life, which exposes new attack surfaces. Researchers have demonstrated vulnerabilities and weak security measures in pacemakers, and companies producing these devices have been exposed for not having good security practices. The recent innovation within this field introduces mobile applications connected to the pacemaker to provide detailed insight to the patients. The app offers benefits in terms of patient monitoring and data accessibility. However, it also introduces new attack vectors that can compromise the security and privacy of the patient. In this thesis, we investigate the cyber security concerns connected to mobile applications used in the pacemaker ecosystem focusing on patient safety and privacy. We conduct a threat modeling of the ecosystem provided by two of the main manufacturers to identify and analyze different threats that can exist in the new ecosystem. Further, we perform a security analysis on mobile applications to find potential vulnerabilities that can be exploited by an attacker. The results describe new attack surfaces that affect the patient's privacy, such as outdated signature algorithms, weak password policy, and the possibility of impersonating a mobile application. These are compared with the old pacemaker ecosystem. This includes a hardware device as the dedicated communication gateway. Another research finding is gathering user insight by conducting a questionnaire study sent out to patients with a pacemaker. It suggests that the respondents were positive about the mobile applications, but that their habits and awareness may decrease the security level. Our findings contribute to the understanding of mobile apps connected to a medical device, offering new and valuable insights in this area. In addition, we highlight the importance of conducting comprehensive security testing of these mobile apps and analyzing potential consequences before deploying them into the world, as these mobile apps handle personal and sensitive data. Security testing is therefore not just a recommended practice, but a critical necessity.