Хакери можуть отримати контроль над інсуліновим насосом для введення шкідливої ​​дози у пацієнтів - Обчислення - 2019

Anonim

Коли хтось згадує хакерів, це, як правило, стосується підлітків, що втручаються у мережу уряду або останніх розладів роздрібної торгівлі / служб, які захоплюють особисті дані мільйонів клієнтів. Розтріскування в кардіостимулятор або інсуліновий насос особи насправді не приходить на розум, але це можливо і стається. Johnson & Johnson насправді попереджає пацієнтів про вразливість безпеки, виявлену в одному з її інсулінових насосів.

Доброю новиною є те, що ризик використання постраждалого інсулінового насоса Animas OneTouch Ping є надзвичайно низьким, тому паніці не потрібно. Погана новина полягає в тому, що, якщо експлуатувати, хакери могли передозувати хворих на цукровий діабет інсуліном. На даний момент лише близько 114 000 пацієнтів користуються цим конкретним медичним пристроєм.

Вразливість була виявлена ​​дослідником Джей Редкліффе з кібербезпеки компанії Rapid7 Inc., яка також має діабет. Редкліфф відкрив свої висновки Джонсону та Джонсону у квітні та опублікував новини в блозі Rapid7 28 вересня. Джонсон і Джонсон лише зараз збираються інформувати пацієнтів через стандартну пошту.

Відповідно до сторінки продукту, Animas OneTouch Ping забезпечує Meter Remote, щоб пацієнти могли подарувати собі дозу інсуліну, не торкаючись самого насоса. Окрім перевірки рівня цукру в крові, пульт також дозволяє користувачам дистанційно керувати функціями насоса, розрахувати, скільки болюсного інсуліну потрібно, і багато іншого.

Проблема в тому, що бездротовий зв'язок між пультом і насосом не захищений. Вони спілкуються в діапазоні 900 МГц, використовуючи власний Wi-Fi протокол на основі "яскравості" зв'язку. Без шифрування хакер потенційно може підробляти з'єднання від Meter Remote і дати пацієнта шкідливу дозу інсуліну.

"Через ці вразливості до інсуліну супротивник у межах достатньої близькості (що може залежати від використовуваного обладнання радіопередачі) може дистанційно пошкодити користувачів системи та, можливо, викликати їх гіпоглікемічну реакцію, якщо він або вона не скасує доставку інсуліну на насосі ", - повідомляє Рендліфф.

Отримавши доступ до зв'язку між насосом і пультом, хакери можуть бачити результати глюкози в крові та дані про дози інсуліну. Вони отримують доступ, нюхаючи 5-пакетний "ключ", переданий між насосом і віддаленим пристроєм, який залишається тим самим щоразу, коли обидва пристрої є парними. Це, мабуть, перешкоджає іншим домашнім пультам дистанційного управління активізувати насос.

"Зв'язок між насосом і віддаленим пристроєм не має послідовних чисел, тимчасових міток або інших форм захисту від атак повторення", - додав Радкліфф. "Через це злочинці можуть захоплювати віддалені передачі та відтворювати їх пізніше для виконання болюсу інсуліну без спеціальних знань, що потенційно може викликати їх гіпоглікемічну реакцію".

Так що жодного разу так довго, як Джонсон і Джонсон повідомили про проблему? Компанії довелося відтворити висновок Редкліффа, перш ніж він попереджав пацієнтів про потенційну проблему. Брайан Леві, головний лікар з діабету Джонсона та Джонсона, розповів Reuters, що вони виявили, що хакер може насправді вводити пацієнтів із шкідливою дозою інсуліну на відстані до 25 метрів.

У листі до пацієнтів Johnson & Johnson сказали, що власники OneTouch Ping, котрі стурбовані потенційним злом, можуть припинити використовувати пульт дистанційного керування або запрограмувати насос обмежити максимальну дозу інсуліну. Користувачі також можуть увімкнути функцію вібраційного сповіщення, щоб попередити про дозу інсуліну, яку слід ініціювати за допомогою пульта дистанційного керування. Анімас надає лист пацієнтам тут.