Hacknutí bezdrátově komunikující inzulínové pumpy může zabíjet

Pavel Houser , 28. říjen 2011 11:31 3 komentářů
Rubriky: Security, Hardware

Možnost narušit fungování medicínských zařízení se diskutuje již nějakou dobu. Může ale útočník tímto způsobem přímo připravit člověka o život? Diabetika možná ano.

Inzulínová pumpa
Inzulínová pumpa
Podobná akce se nemusí omezovat na sci-fi filmy. Barnaby Jack, bezpečnostní výzkumník společnosti McAfee, prezentoval na konferenci Hacker Halted v Miami útok na inzulínovou pumpu společnosti Medtronic (jeden z nejvýznamnějších dodavatelů zařízení tohoto typu). Příslušné pumpy obsahují rozhraní pro bezdrátovou komunikaci a rádiový vysílač (pracovní frekvence 900 MHz), s jejichž pomocí mohou pacienti i lékaři upravovat funkce zařízení.

V předcházejících případech bylo zařízení možné ovládnout pouze za předpokladu, že útočník znal jeho sériové číslo.

B. Jack se ale dokázal obejít i bez toho a získat kontrolu nad všemi pumpami v okruhu 100 metrů - sériové číslo mu v první fázi útoku sdělila samotná zařízení. K tomu všemu stačí dle Jacka jeho vlastní speciálně vyvinutá anténa a software. Čerpadla pak budou poslušně plnit útočníkovy příkazy, např. vyprázdní najednou celý zásobník inzulínu (asi 300 běžných dávek), což už člověka může zabít. I v tom je rozdíl oproti předešlé metodě, která dokázala pumpu "pouze" vypnout. Za normálních okolností by se při změně dávkování ozval alespoň upozorňující tón nebo vibrace, i tuto signalizaci ale prý útočník může potlačit. Pacient tak prakticky nemá šanci zjistit, co se děje, a pokusit se vyhledat pomoc.

Medtronic přislíbil, že problém bude řešit. Konkrétní zranitelnost opraví, lékaře i pacienty upozorní na rizika a navíc změní i design samotných zařízení (ochrana komunikace šifrováním apod.). Jack ale uvádí, že u stávajících zařízení bezdrátovou komunikaci vypnout nelze. Zranitelné modely pump byly navrženy a vyvinuty asi před 10 lety (byť na trh dodávány později), kdy se podobné útoky nejspíš prostě nepředpokládaly.

Zdroj: The Register


Komentáře

RADEK #1
RADEK 29. říjen 2011 12:58

Věčina lidi to dalkove ovladani pumpy použiva kvuli tomu aby ji nemuseli vytahovat na veřejnosti, takže tam ma nastaveny signal (zvukový/vibrace) podle ktereho pozná kolik si navolila.

POkud to někdo nabourá tak si majitel všimne že něco neni v pořadku a vypne bezdrat.

Samozřejmosti je mit tam nastaveny i limit na max davku naraz takže se vam nestane že by jste si pichli třidení davku naráz

quadq #2
quadq 29. říjen 2011 18:38

a? pochybuju, ze maximalni davka bude jen nejaky kus kodu typu if (neco < max_davka) ... a rekl bych ze max_davka nebude nezmenitelna hodnota, k tomuto faktu se priklanim proto, ze pristroj eviduje davku za urcity casovy okamzik ... tzn. asi do nej nenaperu mrte inzulinu, ale kdyz do nej naperu mrte davek naraz s prepisem casu pripadne s prepisem historie, tak to nepozna ...

Luk #3
Luk 29. červenec 2013 00:45

Hlavně je těžko pochopitelné, že to není chráněné standardním způsobem, tedy například pomocí PKI. V dávkovači veřejné klíče oprávněných uživatelů (pacient, nemocnice, výrobce), při přístupu se použije tajný klíč. "Zabezpečení" založené na krátkém sériovém čísle je samozřejmě extrémně snadno prolomitelné. U přístroje, který rozhoduje o životě a smrti, by se takhle hazardovat nemělo. To snad muselo být každém jasné i před těmi 10 lety.


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

Starší zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů