FDA siger pacemakere, glukosemonitorer og andre enheder kan være sårbare over for hackere

Føderale agenturer advarede tirsdag patienter og producenter om, at et nyligt opdaget problem med Bluetooth Low Energy-kommunikation kan gøre det muligt for computerhackere at fjerndeaktivere eller få adgang til pacemakere, glukosemålere, ultralydsapparater og andre medicinske systemer.

FDA og Homeland Security Department sagde, at selvom der ikke har været nogen rapporter om patienter, der er skadet af problemet, den nødvendige software til at køre et sådant angreb er tilgængelig online.

Medtronic bekræftede tirsdag, at nogle af deres produkter er påvirket, men sagde, at virkningen er begrænset til "midlertidig forstyrrelse af kommunikationsfunktionen" og ikke vil påvirke terapien.

FDA's advarsel beskrev potentialet for meget værre problemer i andre enheder. "Disse cybersikkerhedssårbarheder kan give en uautoriseret bruger mulighed for trådløst at crashe enheden, stoppe det i at virke, eller få adgang til enhedsfunktioner, der normalt kun er tilgængelige for den autoriserede bruger, " sagde FDA's alarm.

Tirsdagens alarm blev udløst af offentliggørelsen af ​​et akademisk papir, "Udløser kaos over Bluetooth Low Energy, ", der skitserede mindst 12 forskellige sikkerhedssårbarheder i enheder, der bruger en lavenergiversion af Bluetooth-kommunikationssystemer. De fleste af sårbarhederne ville simpelthen nedbryde systemerne, men nogle få ville tillade en ondsindet hacker inden for radiokommunikationsområdet at indsætte kommandoer, der ændrer, hvordan enheder fungerer.

Samlet kendt som "SweynTooth, "fejlene påvirker computerchips fra syv forskellige producenter, der bruges i enheder, herunder medicinske produkter. Også berørt er visse atletisk bærbare enheder, "smarte" hjemmesikringssystemer og låse, trådløse computermus, og andre.

"De mest kritiske enheder, der kan blive alvorligt påvirket af SweynTooth, er de medicinske produkter, ", sagde papiret fra tre forfattere ved Singapore University of Technology and Design. "Mens vores team ikke verificerede, i hvilket omfang SweynTooth påvirker sådanne enheder ... anbefales det stærkt, at sådanne virksomheder opdaterer deres firmware. Dette er for at undgå enhver situation, der kan udgøre livstruende risici for patienter, der bruger de respektive medicinske produkter."

SweynTooth-sårbarhederne tillader en uautoriseret part at få fjernadgang til trådløs kommunikation mellem medicinsk udstyr, der er "parret" over en Bluetooth Low Energy-forbindelse (BLE).

Bluetooth er et almindeligt kommunikationssystem, der bruges af trådløse enheder, der taler med hinanden. Bluetooth Low Energy er en version af det system, der kræver mindre energi, hvilket gør det attraktivt for enheder, der kører på begrænset batteristrøm, som medicinsk udstyr.

Daniel Beard, administrerende direktør for det Californien-baserede med-tech cybersikkerhedsforskningsfirma MedISAO, sagde, at hver producent af berørte enheder bliver nødt til at køre sin egen sikkerhedsvurdering, fordi omfanget af påvirkningen afhænger af, hvordan enheden er samlet.

Hvis den samme computerchip inde i en enhed kører både kommunikations- og medicinske terapifunktioner, så kan et SweynTooth-hack påvirke dets medicinske funktionalitet, sagde Beard. Hvis kommunikation og terapi er på separate chips, effekten ville være begrænset til at forstyrre, hvordan enheden kommunikerer trådløst med andre enheder.

Pacemakere, diabetesmonitorer og ultralydsmaskiner - kategorier, der er specifikt kaldt ud i FDA-advarslen - er meget udbredt i sundhedsvæsenet. Flere enhedsfirmaer sagde tirsdag, at de arbejdede på at finde ud af mere information.

"FDA anbefaler, at producenter af medicinsk udstyr forbliver opmærksomme på cybersikkerhedssårbarheder og proaktivt adresserer dem ved at deltage i koordineret afsløring af sårbarheder samt levere afbødningsstrategier, Dr. Suzanne Schwartz, en vicedirektør i FDA's Center for Devices and Radiological Health, sagde i meddelelsen.

En talskvinde for Medtronic bekræftede tirsdag, at flere familier af produkter er berørt.

"Til dato, vores analyse har bekræftet, at disse (sårbare) hardwarekomponenter er til stede i nogle Medtronic-produkter i både vores Cardiac &Vascular og Diabetes produktlinjer. Imidlertid, vores vurdering indikerer, at virkningen er begrænset til midlertidig afbrydelse af kommunikationsfunktionen og ikke påvirker terapi, " sagde talskvinde Erika Winkels via e-mail.

Medtronic-hjerteenheder, der er påvirket af sårbarheden, er:Azure-porteføljen af ​​pacemakere; Percepta, Serena, og Solera-familien af ​​hjerteresynkroniseringsterapi-pacemakere (CRT-P'er); og Cobalt og Crome hjerteresynkroniseringsterapidefibrillatorer (CRT-D'er).

De diabetesprodukter, der påvirkes af sårbarheden, er:Guardian Connect glukosesensorsenderen, som er en del af Guardian Connect stand-alone glukoseovervågningssystem; Envision Pro glukoseoptageren, som er en del af Envision Pro professionelle glukoseovervågningssystem; og MiniMed Connect "uploaderen, " som er et sekundært skærmtilbehør til MiniMed 530G og MiniMed Paradigm sensorforstærkede insulinpumper.

Hverken insulinpumper eller dens transmittere til kontinuerlig glukoseovervågning (CGM), der kommunikerer til pumper fremstillet af Medtronic, indeholder de berørte hardwarekomponenter, sagde virksomheden.

©2020 Star Tribune (Minneapolis)
Distribueret af Tribune Content Agency, LLC.