ضعف امنیتی در پمپ انسولین Animas
شرکت Animas، سازنده تجهیزات پزشکی به مشتریان پمپ انسولین ساخت این شرکت با نام OneTouch Ping در خصوص وجود ضعفی امنیتی که مهاجم را قادر به تغییر در مقدار انسولین تزریق شده به بیمار می کند هشدار داده است.
به گزارش شرکت مهندسی شبکه گستر به نقل از سایت Computer World، این آسیب پذیری توسط یکی از محققان شرکت Rapid7 که خود یک بیمار دیابتی و از استفاده کنندگان این پمپ است شناسایی شده است. این ضعف امنیتی در نتیجه عدم رمزنگاری ارتباطات بی سیم بین پمپ انسولین و کنترل کننده قند خونی است که از راه دور مقدار انسولین تزریقی را تعیین می کند.
مهاجم می تواند ترافیک ارتباطی را رصد کرده و نتایج قند خون و مقدار انسولین را که بصورت متن ساده ردوبدل می شوند شنود کند. ضمن اینکه مهاجم قادر است از سمت کنترل کننده، داده نادرستی را به پمپ ارسال کند. برای مثال مهاجم با اعلام قند بالا به پمپ، سبب تزریق مقدار فراوانی انسولین به بیمار شود. بنحوی که سبب افت شدید قند خون و بروز حالت شوک انسولین در بیمار شود.
حتی یک مهاجم با دانش کمتر نیز می تواند یک فرمان صحیح ارسال شده از کنترل کننده قند خون را ضبط کرده و همان را در فاصله های کوتاه زمانی به پمپ ارسال کند.
هر چند که بر طبق مستندات OneTouch Ping، کنترل کننده می تواند حداکثر در فاصله 10 متری با پمپ ارتباط برقرار کند اما با استفاده از فرستنده رادیویی قوی تر، امکان اجرای این حملات از فاصله ای بسیار دورتر نیز قابل اجرا می باشد.
روز سه شنبه، 13 مهر ماه، Animas که یکی از شرکت های زیرمجموعه شرکت Johnson & Johnson است با انتشار یک اطلاعیه امنیتی وجود این آسیب پذیری را به مشتریانش اعلام کرد. همچنین این شرکت موضوع را از طریق ارسال نامه نیز، به مشتریانش اطلاع رسانی کرده است.
با این حال، Animas احتمال سوءاستفاده از این ضعف امنیتی را بسیار کم می داند و اجرای آن را مستلزم داشتن دانش فنی، تجهیزات پیشرفته و دسترسی نزدیک به پمپ می داند.
استفاده کنندگان از این تجهیزات می توانند قابلیت رادیویی پمپ را غیرفعال کنند. اما در این صورت مجبور خواهند بود که میزان قند خون را بصورت دستی به پمپ را وارد کنند. همچنین حداکثر مقدار انسولین تزریق شده توسط این پمپ ها نیز قابل تنظیم است که در نتیجه تنظیم صحیح آن هر گونه درخواست تزریق بیش از حد انسولین منجر به خطا دادن دستگاه می شود.
بالا بودن و پایین افتادن قند خون هر دو خطری جدی برای افراد دیابتی محسوب می شوند و بنابراین حذف چنین دستگاهی خود می تواند تهدیدی برای سلامت این بیماران باشد.
کشف این ضعف امنیتی، زنگ خطری برای جدی گرفتن امنیت تجهیزات پزشکی است. تجهیزات بسیار حساسی که تا همین حالا بسیاری از آنها بصورت مستقیم و غیرمستقیم به اینترنت متصل شده اند.
