في الأسبوع الماضي ، أصدرت إدارة الغذاء والدواء الأمريكية (FDA) تحذيرًا لمستخدمي مضخة الأنسولين من Medtronic MiniMed (
أخبار ،
قائمة بالأجهزة المعرضة للإصابة على موقع FDA الإلكتروني). أطلقت الشركة المصنعة برنامجًا لاستبدال المضخات بنماذج آمنة: في سبعة من 11 جهازًا ، لا يمكن حل المشكلة عن طريق تحديث البرنامج.
تُستخدم مضخات
الأنسولين في علاج مرض السكري وتتألف من جهاز تحكم وخزان قابل للإزالة للأنسولين ومجموعة للإعطاء تحت الجلد. تتمتع سلسلتان من المضخات المذكورة في تقرير إدارة الأغذية والعقاقير (MiniMed 508 و MiniMed Paradigm) بالقدرة على الاتصال لاسلكيًا بجهاز تحكم يستخدمه الطبيب المعالج أو المريض في ظل الظروف العادية لتغيير معلمات التشغيل. كما اتضح فيما بعد ، يمكن لأي شخص السيطرة ، يكفي أن يكون في نطاق جهاز الإرسال اللاسلكي. لا يتم اكتشاف هذه الثغرات الأمنية لأول مرة ، ولكن لأول مرة تحاول كل من الشركة المصنعة والخدمات الحكومية حل المشكلة بطريقة منسقة. وتجدر الإشارة إلى سرعة رد الفعل: مرت 570 يومًا بين التقارير الأولى للباحثين والاستدعاء الرسمي.
لأسباب واضحة ، لا يكشف الباحثون الذين اكتشفوا المشكلة عن تفاصيل الضعف ، ولكن يمكن فهم شيء ما من خلال الأوصاف القصيرة للمشكلات. في شهر مارس من العام الماضي ، تم تطوير إثبات للمفهوم لـ MiniMed 508 و Paradigm ، وهو ما يطابق القائمة التي أصدرتها FDA الأسبوع الماضي. في أغسطس 2018 ، وفقا لنتائج الدراسة ،
أصدرت الشركة المصنعة تحذيرا ، ولكن في ذلك الوقت تم تصنيف المشكلة على أنها أقل خطورة. تم العثور على نوعين من نقاط الضعف: أولاً ، تم نقل البيانات بين المضخة والملحقات اللاسلكية (على سبيل المثال ،
مقياس السكر في الدم) في نص عادي. في هذه الحالة ، كان هناك خطر تسرب المعلومات الخاصة.
ثانياً ، عند التفاعل مع جهاز التحكم ، حصل إذن ، على ما يبدو ، لكن مجمع وحدة التحكم والمضخة تعرض لهجوم الإعادة المزعوم. وبعبارة أخرى ، كان من الممكن إعادة إنتاج تسلسل البيانات المنقول بواسطة جهاز التحكم والسبب ، على سبيل المثال ، إعادة إعطاء الأنسولين. ومع ذلك ، واعتبارًا من منتصف العام الماضي ، تم تصنيف خطر الضعف على أنه "متوسط" (4.8 و 5.3 نقطة باستخدام طريقة CVSS v3) ، نظرًا لأن هجوم الإعادة كان ذا صلة بميزات المضخة التي تم إيقاف تشغيلها افتراضيًا.
ما الذي تغير خلال العام الماضي؟ تم التعرف على نفس قائمة الأجهزة تقريبًا (في الصورة أعلاه) باعتبارها عرضة للخطر ليس في إعدادات معينة ، ولكن بشكل عام في جميع الحالات. حصلت هذه الثغرة الجديدة (
CVE-2019-10964 ) على تصنيف "خطير" يبلغ 7.3 نقطة على مقياس CVSS ، على الرغم من أنه من وجهة نظر الباحث الأمني ، قد تكون هذه المشكلة "قديمة" ، لكن مع عواقب جديدة. نظرًا لعدم وجود نظام ترخيص مناسب للأجهزة التي تتفاعل مع مضخات Medtronic ، فليس فقط هجومًا ممكنًا. يمكنك نقل المعلومات التعسفية إلى المضخة ، وتغيير الإعدادات ، والتحكم بشكل عام في عملية إدخال الأنسولين ، مما يسبب جرعة زائدة ونقص الدواء. كلا الخيارين يمكن أن يكون خطرا جدا على الصحة.
أحد الأجهزة المذكورة في تحذير FDA هو جهاز Carelink USB. في الواقع ، هذا محول لاسلكي يسمح لك بتنزيل معلومات حول تشغيل المضخة وعرضها في برنامج الملكية على الكمبيوتر. هذه الأجهزة الطبية تجعل الحياة أسهل بالنسبة للأشخاص ، والاتصال اللاسلكي يجعلهم أكثر راحة. ولكن في هذه الحالة ، كان من الضروري حماية نقل البيانات قدر الإمكان: عندما يتعلق الأمر بالصحة ، فإن تسرب البيانات المعتاد يمثل مشكلة ، وأكثر من ذلك إذا بدأ جهاز مصمم لتحسين نوعية الحياة في تهديده.
يوفر Medtronic قائمة من النصائح لأولئك الذين يضطرون إلى استخدام مضخة ضعيفة (بسبب عدم إمكانية الوصول إلى النماذج الآمنة في المنطقة أو لسبب آخر). يوصى بإبقاء الجهاز معك في جميع الأوقات وعدم مشاركة رقمه التسلسلي مع أي شخص (يشير هذا إلى نظام ترخيص و / أو تشفير بسيط باستخدام الرقم التسلسلي ، ولكن إذا نظرنا إلى اقتباسات الباحثين ، فلست بحاجة إلى معرفة المسلسل للكسر). أيضًا ، يجب عليك على الفور إلغاء أي حقنة لا يبدأها المالك ، ومراقبة مستوى الجلوكوز في الدم باستمرار. بالإضافة إلى ذلك ، يوصى بفصل CareLink USB عن الكمبيوتر عندما لا تكون قيد الاستخدام.
باختصار ، أصبح الجهاز الطبي المريح أقل راحة. وفقا للشركة المصنعة ، لم تكن هناك حالات الاستغلال المتعمد للضعف. هذه أخبار جيدة ، لكن من المحتمل أن يكون ذلك بسبب عدم وجود دافع لمجرمي الإنترنت. لكن ماذا لو ظهرت؟
آخر الأخبار في الأسبوع الماضي كان
اكتشاف هجوم جديد على أجهزة إنترنت الأشياء باستخدام كلمات مرور افتراضية (على سبيل المثال ، أجهزة التوجيه أو كاميرات فيديو IP). قام البرنامج النصي الخبيث ، المعروف باسم Silex ، بتدمير نظام ملفات الأجهزة ، مما جعلها غير صالحة للعمل. على ما يبدو ، بالنسبة لشخص ما ، لم يكن الدافع النقدي ذا أهمية ، وكانت الأجهزة (التي عانى منها حوالي 4000 شخص) قد تم بناؤها لمجرد حب الفن. يعد فقدان الإنترنت وفشل الشبكة المحلية مشكلة خطيرة ، ولكن مثل هذا الهجوم على إنترنت الأشياء الحيوي في الطب هو أسوأ بكثير.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.