Vulnerabilidad en IoT de AliveCor's KardiaMobile (CVE-2022-41627)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
27/10/2022
Última modificación:
07/11/2023
Descripción
El dispositivo físico IoT de AliveCor's KardiaMobile, basado en un teléfono inteligente de electrocardiograma personal (EKG), no tiene cifrado para sus protocolos de datos sobre sonido. Explotar esta vulnerabilidad podría permitir a un atacante leer los resultados del EKG del paciente o crear una condición de Denegación de Servicio al emitir sonidos en frecuencias similares a las del dispositivo, interrumpiendo la capacidad del micrófono del teléfono inteligente para leer los datos con precisión. Para llevar a cabo este ataque, el atacante debe estar cerca (a menos de 5 pies) para captar y emitir ondas sonoras.
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:alivecor:kardiamobile:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:alivecor:kardiamobile_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:alivecor:kardiamobile_6l:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:alivecor:kardiamobile_6l_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:alivecor:kardiamobile_card:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:alivecor:kardiamobile_card_firmware:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página