Hacknutí bezdrátově komunikující inzulínové pumpy může zabíjet

Pavel Houser , 28. říjen 2011 11:31 3 komentářů
Rubriky: Security, Hardware

Možnost narušit fungování medicínských zařízení se diskutuje již nějakou dobu. Může ale útočník tímto způsobem přímo připravit člověka o život? Diabetika možná ano.

Inzulínová pumpa
Inzulínová pumpa
Podobná akce se nemusí omezovat na sci-fi filmy. Barnaby Jack, bezpečnostní výzkumník společnosti McAfee, prezentoval na konferenci Hacker Halted v Miami útok na inzulínovou pumpu společnosti Medtronic (jeden z nejvýznamnějších dodavatelů zařízení tohoto typu). Příslušné pumpy obsahují rozhraní pro bezdrátovou komunikaci a rádiový vysílač (pracovní frekvence 900 MHz), s jejichž pomocí mohou pacienti i lékaři upravovat funkce zařízení.

V předcházejících případech bylo zařízení možné ovládnout pouze za předpokladu, že útočník znal jeho sériové číslo.

B. Jack se ale dokázal obejít i bez toho a získat kontrolu nad všemi pumpami v okruhu 100 metrů - sériové číslo mu v první fázi útoku sdělila samotná zařízení. K tomu všemu stačí dle Jacka jeho vlastní speciálně vyvinutá anténa a software. Čerpadla pak budou poslušně plnit útočníkovy příkazy, např. vyprázdní najednou celý zásobník inzulínu (asi 300 běžných dávek), což už člověka může zabít. I v tom je rozdíl oproti předešlé metodě, která dokázala pumpu "pouze" vypnout. Za normálních okolností by se při změně dávkování ozval alespoň upozorňující tón nebo vibrace, i tuto signalizaci ale prý útočník může potlačit. Pacient tak prakticky nemá šanci zjistit, co se děje, a pokusit se vyhledat pomoc.

Medtronic přislíbil, že problém bude řešit. Konkrétní zranitelnost opraví, lékaře i pacienty upozorní na rizika a navíc změní i design samotných zařízení (ochrana komunikace šifrováním apod.). Jack ale uvádí, že u stávajících zařízení bezdrátovou komunikaci vypnout nelze. Zranitelné modely pump byly navrženy a vyvinuty asi před 10 lety (byť na trh dodávány později), kdy se podobné útoky nejspíš prostě nepředpokládaly.

Zdroj: The Register


Komentáře

RADEK #1
RADEK 29. říjen 2011 12:58

Věčina lidi to dalkove ovladani pumpy použiva kvuli tomu aby ji nemuseli vytahovat na veřejnosti, takže tam ma nastaveny signal (zvukový/vibrace) podle ktereho pozná kolik si navolila.

POkud to někdo nabourá tak si majitel všimne že něco neni v pořadku a vypne bezdrat.

Samozřejmosti je mit tam nastaveny i limit na max davku naraz takže se vam nestane že by jste si pichli třidení davku naráz

quadq #2
quadq 29. říjen 2011 18:38

a? pochybuju, ze maximalni davka bude jen nejaky kus kodu typu if (neco < max_davka) ... a rekl bych ze max_davka nebude nezmenitelna hodnota, k tomuto faktu se priklanim proto, ze pristroj eviduje davku za urcity casovy okamzik ... tzn. asi do nej nenaperu mrte inzulinu, ale kdyz do nej naperu mrte davek naraz s prepisem casu pripadne s prepisem historie, tak to nepozna ...

Luk #3
Luk 29. červenec 2013 00:45

Hlavně je těžko pochopitelné, že to není chráněné standardním způsobem, tedy například pomocí PKI. V dávkovači veřejné klíče oprávněných uživatelů (pacient, nemocnice, výrobce), při přístupu se použije tajný klíč. "Zabezpečení" založené na krátkém sériovém čísle je samozřejmě extrémně snadno prolomitelné. U přístroje, který rozhoduje o životě a smrti, by se takhle hazardovat nemělo. To snad muselo být každém jasné i před těmi 10 lety.

RSS 

Komentujeme

Google vs. Oracle: Kdo tahá za kratší konec?

Pavel Houser , 04. duben 2018 11:30
Pavel Houser

Po 8 letech právních sporů vstoupila soudní tahanice mezi Googlem a Oraclem do dalšího kola. Nakolik...

Více







RSS 

Zprávičky

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 0 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Starší zprávičky

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 3 komentářů

eMan vykupuje zpět podíl Jablotronu

Pavel Houser , 19. duben 2018 14:32

Strategie obou společností se po více než 2 letech propojení rozcházejí, kontrolu nad firmou získáva...

Více 0 komentářů

Facebook reaguje na nové normy EU, cílená reklama ale nepřestane

ČTK , 19. duben 2018 10:26

Facebook se začal dotazovat svých uživatelů, zda může v jejich fotografiích a videích používat techn...

Více 2 komentářů

Ruské úřady vs. Telegram

ČTK , 19. duben 2018 08:00

Začaly se objevovat informace o rozsáhlých výpadcích služeb, které se sporem nijak nesouvisejí....

Více 0 komentářů