The Conexus telemetry protocol utilized within this ecosystem does not implement authentication or authorization. An attacker with adjacent short-range access to an affected product, in situations where the product’s radio is turned on, can inject, replay, modify, and/or intercept data within the telemetry communication. This communication protocol provides the ability to read and write memory values to affected implanted cardiac devices; therefore, an attacker could exploit this communication protocol to change memory in the implanted cardiac device. https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01 ____ Come minimo, l'azienda andrebbe condannata alla sostituzione del device con uno che applichi le più basilari norme di sicurezza informatica, ma... chi si assume i rischio degli interventi cardio-chirurgici di sostituzione? Qui l'incompetenza qui valica i confini aziendali. Chi ha autorizzato la commercializzazione? Come risponde del danno che ha causato ai malati? Non stiamo parlando di un attacco macchiavellico che sfrutta ignote vulnerabilità zero-day! Il sistema non prevede alcuna autenticazione, alcuna autorizzazione e nessuna protezione crittografica delle comunicazioni! Giacomo