Falhas | 10/06/2015 16h15

Falha em aparelhos hospitalares pode colocar vidas em risco

Pesquisador acusa fabricante de esconder falha em equipamento.
Existência da falha em um dos modelos é contestada.
Bomba de infusão PLUM A+3 da Hospira (Billy Rios / Divulgação)

Bomba de infusão PLUM A+3 da Hospira
(Billy Rios / Divulgação)

O pesquisador Billy Rios descobriu vulnerabilidades preocupantes que podem ser exploradas remotamente por hackers em vários tipos de bombas de infusão de remédios fabricadas pela Hospira, empresa com base estabelecida nos Estados Unidos.

A vulnerabilidade permitiria, por exemplo, que um usuário controlasse o dispositivo médico modificando as dosagens de medicação administradas a pacientes em tratamento.

Reincidência

Esta não é a primeira vez que o pesquisador encontra problema com dispositivos dessa mesma fabricante. Em 2014, Rios reportou aos órgãos americanos competentes sobre várias brechas que viabilizariam ataques a linha de bombas PCA 3 Lifecare. Eventualmente o Food and Drug Administration (FDA), agência reguladora norte-americana, publicou uma nota de segurança sobre essas vulnerabilidades quando o caso veio a público devido a exploração do problema por outros especialistas. O fato é que quando Rios contatou a Hospira em 2014, ouviu da empresa uma recusa em testar outras bombas de infusão que eram vendidas portando o mesmo sistema. Essa recusa levou-o a continuar a pesquisa em outras linhas de produtos.

“O que eu encontrei foi muito interessante, pois muitas bombas de infusão da Hospira usam um software idêntico em seus módulos de comunicação tornado a todos vulneráveis exatamente pelo mesmo problema de segurança associado ao PCA 3” compartilhou ele em seu blog.

Produtos contestados

Confirmadamente, as linhas afetadas até momento são as seguintes: CA 3 Lifecare, PCA 5 Lifecare, Plum A+ Infusion Pumps, PCA Lifecare, e Symbiq (fora de catálogo).

Segundo reportagem da Wired , a Hospira negou os problemas dizendo que esses ataques são impossíveis uma vez que os módulos de comunicação e a placa de circuitos são fisicamente separadas.

Um comunicado da Hospira enviado à imprensa nesta quarta-feira (10) afirma que a empresa está trabalhando com o governo norte-americano para investigar as falhas nos modelos indicados nos alertas. A linha Plum A+ não consta nos alertas emitidos pelo governo. A empresa ainda minimizou o problema, dizendo que para realizar o ataque é preciso antes burlar defesas da rede hospitalar.

A linha Plum A+ é comercializada globalmente, inclusive no Brasil.

Rios respondeu que “de um ponto de vista de arquitetura, parece que os dois módulos são separados, mas quando você abre o dispositivo, você descobre que os componentes são ligados via cabo serial, e de uma maneira que certamente lhe permite alterar o núcleo do software da bomba”. Ele está preparando uma prova de conceito para constatar sua acusação mês que vem na conferência de segurança SummerCon em Nova York.

 

Comentários

Os comentários são de responsabilidade de seus respectivos autores

Alertas no Twitter

 
Parceiro
Site Seguro

Anuncie | Termos de Uso | Politica de Privacidade | WP

Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva

Contato Geral:

English ©2004-2015 Linha Defensiva. Todos os Direitos Reservados.