Όταν ερευνητής ασφάλειας Billy Rios ανέφερε στις αρχές του 2015 ότι είχε ανακαλύψει τρωτά σημεία σε μια δημοφιλή αντλία έγχυσης φαρμάκων που επιτρέπουν σε hackers να αυξήσουν το όριο δόσης των φαρμάκων που παρέχονται στους ασθενείς, κανείς δεν ανησύχησε όσο έπρεπε.
Η αλλοίωση των επιτρεπομένων ορίων των φαρμάκων σήμαινε απλά ότι αν ένας φροντιστής κατά λάθος έδινε εντολή στην αντλία να δώσει πάρα πολύ υψηλή ή πολύ χαμηλή δόση, η αντλία δεν θα έδινε κάποια προειδοποίηση.
Όμως ο ίδιος ερευνητής ανακοίνωσε πρόσφατα, ότι οι αντλίες είχαν ευπάθειες που επιτρέπουν στους hackers να μεταβάλουν ουσιαστικά την δοσολογία.
Ο Billy Rios αναφέρει ότι ανακάλυψε πολύ πιο σοβαρές αδυναμίες σε διάφορα μοντέλα των αντλιών του ίδιου κατασκευαστή, οι οποίες επιτρέπουν στους hackers να αλλάξουν κρυφά και απομακρυσμένα την ποσότητα των φαρμάκων που χορηγούνται σε έναν ασθενή.
“Αυτή είναι η πρώτη φορά που ξέρουμε ότι μπορούμε να αλλάξουμε τη δοσολογία,” δήλωσε ο Rios στο Wired.
Τα τρωτά σημεία είναι γνωστό ότι επηρεάζουν τουλάχιστον πέντε μοντέλα των αντλιών έγχυσης του φαρμάκου που κατασκευάζονται από την Hospira, μια εταιρεία από το Illinois που έχει διαθέσει περισσότερες από 400.000 ενδοφλέβιες αντλίες χορήγησης φαρμάκων σε νοσοκομεία σε όλο τον κόσμο.
Τα ευάλωτα μοντέλα περιλαμβάνουν τις τυποποιημένες αντλίες PCA Lifecare της εταιρίας: PCA3 LifeCare και PCA5 LifeCare pumps. Τις Symbiq line pumps, που η εταιρεία σταμάτησε να διαθέτει το 2013 για θέματα ποιότητας και ασφάλειας καθώς και τις αντλίες Plum A+. Η Hospira έχει διαθέσει τουλάχιστον 325.000 από το τελευταίο μοντέλο σε νοσοκομεία σε όλο τον κόσμο.
Αυτά είναι τα συστήματα που ο Rios γνωρίζει με σιγουριά ότι είναι ευάλωτα γιατί τα έχει δοκιμάσει. Αλλά υποψιάζεται ότι τα μοντέλα Plum A + 3, Sapphire και SapphirePlus της εταιρείας έχουν εξίσου προβλήματα ασφαλείας.
Οι νέες ευπάθειες που ανακάλυψε ο Billy Rios επιτρέπουν στους εισβολείς να αλλάξουν εξ αποστάσεως το firmware των αντλιών, δίνοντάς τους τον πλήρη έλεγχο των συσκευών και τη δυνατότητα να αλλάξουν δόσεις που παρέχονται στους ασθενείς.
Όμως το επίσης σημαντικό είναι ότι οι επιτιθέμενοι θα μπορούσαν να αλλάξουν και την οθόνη απεικόνισης της αντλίας για να δείχνει ότι η δοσολογία είναι κανονική.
Ο Billy Rios θα παρουσιάσει το πρώτο PoC στο συνέδριο ασφαλείας SummerCon που θα γίνει στο Μπρούκλιν της Νέας Υόρκης τον επόμενο μήνα.