Antivírus blog

vírusok, férgek, botnetek, kártevők

Security és inzulinpumpa: a jövő itt van és sose lesz vége

2016. október 12. 09:44 - Csizmazia Darab István [Rambo]

Modern világ, rohanó élet - ezúttal egy inzulin pumpával kapcsolatosan figyelmeztetnek biztonsági hibákra. Az Animas Corporation által gyártott OneTouch Ping vércukormérő és inzulin adagoló eszköz - amely vezetéknélküli, rádiós távirányítási lehetőséget is tartalmaz - olyan biztonsági rést tartalmaz, amelynek segítségével távoli támadó hamis Meter Remote utasítást adhat inzulin injekció jogosulatlan beadására.

Jay Radcliffe biztonsági kutató - aki maga is egy I.-es típusú cukorbeteg - fedezett fel hibákat, amelyekről összefoglaló jelentést írt. Elsősorban a vezetéknélküli kommunikáció gyengeségeire hívta fel a figyelmet, amely alatt a titkosítás mentes adattovábbítást kell érteni: magyarul sima olvasható cleartextben utazik az adat, ami 2016-ban ennyi rengeteg biztonsági incidensről szóló évtizedes beszámolók fényében valóban komoly hiba.

Távoli támadó által kiváltott extra adag inzulin ugyanis hipoglikémiás reakcióval fenyegetheti a felhasználót.

Bár a hibák kihasználásának kockázatát relatív alacsonynak (ha velem történik, akkor tragédia, ha mással, akkor "relatív alacsony") értékelte az Animas anyavállalata a Johnson & Johnson, azért mégis kiadtak egy hivatalos útmutatót, amelyben a kockázatok átmeneti csökkentésére adnak tanácsokat.

A felhasználóknak többek közt javasolják a rezgő hívásjelzés aktiválását, amely érzékelhetően jelzi, ha távoli utasítás érkezik, így lehetőség nyílik ennek felülbírálatára, törlésére.

A gyártó közben egyeztet és együttműködik a biztonsági szakértővel, és reméljük, dolgoznak valamilyen frissítésen. Bízunk benne, hogy még azelőtt lesz ennek konkrét eredménye, mielőtt valakivel tragédia történik. Bár biztonsági hibát alapvetően szinte mindenfajta eszközben lehet találni, a titkosítás totális kihagyása mindenhol egy igen durva tervezési mulasztásnak értékelhető.

Remélhetőleg az orvosi eszközök fejlesztői, gyártói is megértik, hogy a gyors piacra kerülés, és a költségek alacsony szintre való pozicionálása miatt sehol nem kerülhet háttérbe a mai világban oly fontos biztonság.

Az természetesen a gyártó javára írható, hogy beismeri és igyekszik foglalkozni a dologgal, ez legalább hozzáállásban pozitív. Nem úgy, mint például a Samsung Galaxy Note 7-es telefonok kigyulladása, ahol a gyártók hosszú ideig érdemben el akarták titkolni a problémákat, amelyek a szeptemberi visszahívásos csere után is gondot okoztak.

A rengeteg égési sérülést okozó, és a hibát elismerni csak nehezen akaró gyártónak végül is a típus totális leállítása mellett kellett döntenie.

Évek óta szerepel már az antivírus cégek év eleji jóslataiban az IoT eszközök biztonsági problémája, az ezekkel kapcsolatos egyre nagyobb mértékű incidensek, várható támadásokra való figyelmeztetések.

Ennek fényében minden eszköz fejlesztőjének ideje lenne magába néznie, és a biztonságos kommunikációt nélkülöző eszközöknek pedig igazából manapság meg sem volna szabad jelennie.

És végül, ha már orvosi készülékeknél tartunk, talán mindenki emlékszik arra, hogy 2013-ban a korábbi amerikai alelnök, Dick Cheney pacemakerében - aki addig összesen öt szívrohamot élt már túl - az orvosok letiltották a vezeték nélküli képességeket, hogy ezzel kiküszöböljék egy lehetséges gyilkossági kísérlet veszélyét.

1 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr2411798203

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Trailblazer 2016.10.12. 20:23:01

Na pl. ehhez minek kell külső hozzáférést adni egyáltalán?