Medtronic 24950 MyCareLink Monitor и 24952 MyCareLink Monitor содержат отладочный код, предназначенный для тестирования функциональности ин…
Medtronic 24950 MyCareLink Monitor и 24952 MyCareLink Monitor содержат отладочный код, предназначенный для тестирования функциональности интерфейсов связи монитора, включая интерфейс между монитором и имплантируемым сердечным устройством. Злоумышленник с физическим доступом к устройству может использовать другие уязвимости для доступа к этой отладочной функциональности. Эта отладочная функциональность предоставляет возможность чтения и записи произвольных значений памяти имплантируемых сердечных устройств посредством индуктивных или беспроводных протоколов ближнего действия [1]. Рекомендации: 1. Ограничить физический доступ к монитору MyCareLink. 2. Использовать только мониторы, полученные напрямую от поставщика. Источники: - [1] https://global.medtronic.com/xg-en/product-security/security-bulletins/mycarelink-6-28-18.html - [2] https://ics-cert.us-cert.gov/advisories/ICSMA-18-179-01
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| 24950_mycarelink_monitor_firmware | * | Отслеживается |
| 24952_mycarelink_monitor_firmware | * | Отслеживается |