Thomas Zaffino

USA, il dispensatore di insulina diventa un killer?

Una vulnerabilità che interessa la comunicazione wireless tra telecomando e dispositivo potrebbe essere sfruttata per iniettare una dose letale

Roma - Una vulnerabilità scoperta da Jay Radcliffe, ricercatore in materia di sicurezza, pubblicata sul blog della società Rapid7 di cui è dipendente rivela l'esistenza di una falla che interessa il dispensatore di insulina OneTouch Ping di Animas Corporation, società acquisita da Johnson&Johnson nel 2006. Se sfruttata, la vulnerabilità potrebbe compromettere la salute dei pazienti che ne fanno uso, in maniera anche grave.

Animas OneTouch Ping

Parlando di sicurezza si tende a pensare alle protezioni delle reti di governi, istituzioni e grandi società, come nei recenti casi che hanno coinvolto le email di Yahoo e il database del Democratic National Committee (DNC) durante la campagna elettorale per le presidenziali statunitensi. Difficilmente un pirata potrebbe interessarsi all'hacking di un dispensatore di insulina, ma il rischio esiste, tanto che Johnson&Johnson ha deciso di allertare i pazienti circa la sua vulnerabilità.

Per fortuna la percentuale di persone affette da diabete che fanno uso del dispensatore in oggetto è relativamente bassa. Sembra infatti che i pazienti interessati dal problema siano attualmente 114mila. Se sfruttata da un malintenzionato, però, tale vulnerabilità potrebbe procurare un'overdose di insulina. Nella pagina del prodotto si legge come il OneTouch Ping di Animas fornisca un telecomando "Meter" mediante il quale i pazienti possono dispensare una dose di insulina senza la necessità di agire sul dispositivo. Oltre al controllo del livello di zuccheri presenti nel sangue, il telecomando consente anche di controllare a distanza le funzioni della pompa, determinare la quantità di insulina necessaria in un determinato momento e altro.
hacking Animas OneTouch Ping

La vulnerabilità scoperta da Jay Radcliffe interessa la connessione wireless tra telecomando e dispositivo, che usa un protocollo proprietario nella banda dei 900MHz. La comunicazione tra telecomando e dispensatore avviene tuttavia in chiaro, senza l'uso di crittografia. Come riferisce lo stesso Radcliffe, un hacker che agisca nelle vicinanze del dispensatore, che ha un raggio di azione limitato, potrebbe simulare una connessione remota "Meter" e "sfruttare la vulnerabilità per procurare una reazione ipoglicemica al paziente, se questi non riuscisse a fermare in tempo l'erogazione di insulina".

La vulnerabilità è molto simile a quella che ha interessato le tastiere wireless Logitech, il cui protocollo di connessione in chiaro consentiva di "sniffare" i dati trasmessi. Accedendo alla connessione tra telecomando e dispensatore, sniffando la chiave trasmessa tra dispensatore e dispositivo remoto che rimane inalterata ogni qualvolta i due dispositivi rimangono accoppiati, gli attaccanti possono visionare i valori glicemici e i dati relativi al dosaggio dell'insulina.

Prima di avvisare i pazienti, Johnson&Johnson ha cercato di riprodurre l'hack scoperto da Radcliffe. La società ha quindi deciso di segnalare pubblicizzare la vicenda, come riferito a Reuters da Brian Levy, responsabile medico dell'unità di Johnson&Johnson per il diabete, confermando che si possa effettivamente iniettare ai pazienti dosi letali di insulina entro un raggio d'azione di circa 8 metri. Nella lettera, Johnson&Johnson ha comunicato ai proprietari dei OneTouch Ping le proprie preoccupazioni per un potenziale attacco, invitando loro a non usare il telecomando o, in alternativa, di impostare un limite nella quantità massima di insulina dispensabile. I pazienti possono anche attivare una funzione di avviso (vibrazione) che li allerti nel caso di dosi richieste tramite telecomando.

Thomas Zaffino

Fonti immagini 1, 2
Notizie collegate
  • SicurezzaDDoS e censura secondo Brian KrebsUn esercito di oggetti connessi ha affondato il blog dell'esperto di sicurezza, bombardato con un attacco della potenza di 620Gb/s. Akamai, costretta a gettare la spugna, ha ceduto il ruolo di difensore a Google
  • TecnologiaKeySweeper intercetta le tastiere wireless di MicrosoftUno smanettone ha realizzato un dispositivo economico in grado di registrare tutti i tasti battuti su tastiere wireless marchate Microsoft, un gadget camuffato come caricabatteria che per giunta le batterie le carica davvero
20 Commenti alla Notizia USA, il dispensatore di insulina diventa un killer?
Ordina
  • Quando ero ragazzo andavo a trovare un amico che aveva in casa il nonno anziano col pacemaker.

    Per zittire il nonno quando si lamentava il mio amico prendeva il telecomando della TV glielo puntava contro e lo minacciava di spegnerlo definitivamente.
    iRoby
    7812
  • - Scritto da: iRoby
    > Quando ero ragazzo andavo a trovare un amico che
    > aveva in casa il nonno anziano col
    > pacemaker.
    >
    > Per zittire il nonno quando si lamentava il mio
    > amico prendeva il telecomando della TV glielo
    > puntava contro e lo minacciava di spegnerlo
    > definitivamente.

    Maltrattamenti, minacce, circonvenzione di incapace, e forse anche qualcos'altro -_-
    Funz
    12980
  • "ha comunicato ai proprietari dei OneTouch Ping le proprie preoccupazioni per un potenziale attacco, invitando loro a non usare il telecomando o, in alternativa, di impostare un limite nella quantità massima di insulina dispensabile"

    Johnson&Johnson scrivendo una cazzata di questa portata dimostra come non sappia nulla di diabete.
    Per un diabetico non esiste un limite massimo fisso di insulina. Se l'insulina è insuffciente un diabetico ci resta secco per coma iperglicemico, mentre se al momento della sonninistrazione nel sangue c'è un basso tasso glicemico anche una dose "ordinaria" fa morire il diabetico per coma ipoglicemico.
    Questa cazzata del telecomando la deve semplicemente eliminare o gestire seriamente.
    Johnson&Johnson ha intenzione di acquisire ancjhe la Clementoni ?
    Se così fosse allora si spiegherebbero molte cose ...
    non+autenticato
  • finalmente un modo sicuro, veloce e pulito per far fuori la nonna ed ereditare.
    non+autenticato
  • E' necessaria una immediata presa di posizione governativa.

    METTERE IL WIRELESS FUORILEGGE ED EQUIPARARE I SOSTENITORI DEL WIRELESS AI PEDOTERROSATANISTI.

    Il cavo e' sicuro!
    Senza cavo ci sono vulnerabilita'!

    Chi vuole eliminare i cavi vuole la tua morte!
  • - Scritto da: panda rossa
    > E' necessaria una immediata presa di posizione
    > governativa.
    >
    > METTERE IL WIRELESS FUORILEGGE ED EQUIPARARE I
    > SOSTENITORI DEL WIRELESS AI
    > PEDOTERROSATANISTI.
    >
    > Il cavo e' sicuro!
    > Senza cavo ci sono vulnerabilita'!
    >
    > Chi vuole eliminare i cavi vuole la tua morte!

    Vallo a dire ai portatori di pacemaker, quant'è bello vivere coi cavi che escono fuori dal corpo.
  • - Scritto da: Albedo 0,9
    > - Scritto da: panda rossa
    > > E' necessaria una immediata presa di
    > posizione
    > > governativa.
    > >
    > > METTERE IL WIRELESS FUORILEGGE ED EQUIPARARE
    > I
    > > SOSTENITORI DEL WIRELESS AI
    > > PEDOTERROSATANISTI.
    > >
    > > Il cavo e' sicuro!
    > > Senza cavo ci sono vulnerabilita'!
    > >
    > > Chi vuole eliminare i cavi vuole la tua
    > morte!
    >
    > Vallo a dire ai portatori di pacemaker, quant'è
    > bello vivere coi cavi che escono fuori dal
    > corpo.

    Preferisci dirgli che il loro pacemaker e' pilotabile dall'esterno da un malintenzionato con telecomando?
  • - Scritto da: panda rossa
    > - Scritto da: Albedo 0,9
    > > - Scritto da: panda rossa
    > > > E' necessaria una immediata presa di
    > > posizione
    > > > governativa.
    > > >
    > > > METTERE IL WIRELESS FUORILEGGE ED
    > EQUIPARARE
    > > I
    > > > SOSTENITORI DEL WIRELESS AI
    > > > PEDOTERROSATANISTI.
    > > >
    > > > Il cavo e' sicuro!
    > > > Senza cavo ci sono vulnerabilita'!
    > > >
    > > > Chi vuole eliminare i cavi vuole la tua
    > > morte!
    > >
    > > Vallo a dire ai portatori di pacemaker,
    > quant'è
    > > bello vivere coi cavi che escono fuori dal
    > > corpo.
    >
    > Preferisci dirgli che il loro pacemaker e'
    > pilotabile dall'esterno da un malintenzionato con
    > telecomando?

    A quello ci devono pensare le normative per mantenere una decenza di sicurezza tecnologica.

    Sicuramente meglio questo che dirgli che rischierà la vita ogni 3x2 a causa di infezioni.

    Il cavo... te lo puoi infilare allegramente in quel tuo plug.
  • - Scritto da: Albedo 0,9
    > - Scritto da: panda rossa
    > > - Scritto da: Albedo 0,9
    > > > - Scritto da: panda rossa
    > > > > E' necessaria una immediata presa
    > di
    > > > posizione
    > > > > governativa.
    > > > >
    > > > > METTERE IL WIRELESS FUORILEGGE ED
    > > EQUIPARARE
    > > > I
    > > > > SOSTENITORI DEL WIRELESS AI
    > > > > PEDOTERROSATANISTI.
    > > > >
    > > > > Il cavo e' sicuro!
    > > > > Senza cavo ci sono vulnerabilita'!
    > > > >
    > > > > Chi vuole eliminare i cavi vuole
    > la
    > tua
    > > > morte!
    > > >
    > > > Vallo a dire ai portatori di pacemaker,
    > > quant'è
    > > > bello vivere coi cavi che escono fuori
    > dal
    > > > corpo.
    > >
    > > Preferisci dirgli che il loro pacemaker e'
    > > pilotabile dall'esterno da un
    > malintenzionato
    > con
    > > telecomando?
    >
    > A quello ci devono pensare le normative per
    > mantenere una decenza di sicurezza
    > tecnologica.

    E l'apparecchio dell'articolo le segue queste normative?
    Oppure sono le normative a consentire comunicazione in chiaro?

    > Sicuramente meglio questo che dirgli che
    > rischierà la vita ogni 3x2 a causa di
    > infezioni.
    >
    > Il cavo... te lo puoi infilare allegramente in
    > quel tuo
    > plug.

    Lasciamo perdere per il momento il pacemaker che consiste di un dispositivo completamente inserito nel corpo.
    Torniamo all'oggetto dell'articolo: che bisogno c'e' che sia wireless?
  • - Scritto da: panda rossa
    > E l'apparecchio dell'articolo le segue queste
    > normative?
    > Oppure sono le normative a consentire
    > comunicazione in
    > chiaro?

    Chiedilo a chi stila le normative e a chi dovrebbe farle rispettare.


    > > Sicuramente meglio questo che dirgli che
    > > rischierà la vita ogni 3x2 a causa di
    > > infezioni.
    > >
    > > Il cavo... te lo puoi infilare allegramente
    > in
    > > quel tuo
    > > plug.
    >
    > Lasciamo perdere per il momento il pacemaker che
    > consiste di un dispositivo completamente inserito
    > nel
    > corpo.

    No, non lasciamo perdere niente.
    Hai iniziato tu col wireless=pedosatanismo.

    Se vuoi fare l'assolutista almeno abbi le palle di farlo fino in fondo.
  • - Scritto da: Albedo 0,9
    > - Scritto da: panda rossa
    > > E l'apparecchio dell'articolo le segue queste
    > > normative?
    > > Oppure sono le normative a consentire
    > > comunicazione in
    > > chiaro?
    >
    > Chiedilo a chi stila le normative e a chi
    > dovrebbe farle
    > rispettare.

    Ma questi dispositivi medicali avranno un marchio di approvazione, no?
    Ce lo hanno i giocattoli.
    E il marchio di approvazione deve essere subordinato ad un protocollo di comunicazione piu' sicuro del messaggio in chiaro via piccione viaggiatore.

    Ovviamente le normative devono prevederlo.

    A chi bisogna rivolgersi?

    > > > Sicuramente meglio questo che dirgli che
    > > > rischierà la vita ogni 3x2 a causa di
    > > > infezioni.
    > > >
    > > > Il cavo... te lo puoi infilare
    > allegramente
    > > in
    > > > quel tuo
    > > > plug.
    > >
    > > Lasciamo perdere per il momento il pacemaker
    > che
    > > consiste di un dispositivo completamente
    > inserito
    > > nel
    > > corpo.
    >
    > No, non lasciamo perdere niente.
    > Hai iniziato tu col wireless=pedosatanismo.

    Certo. L'articolo presenta un caso specifico di pericolosita' per la vita.
    E il pedoterrosatanismo viene applicato a situazioni di decisamente minor gravita', perche' queste dovrebbe esserne esente?

    Aspettiamo che i terroristi sabotino tutti i dispositivi medicali wireless prima di attivarci?

    > Se vuoi fare l'assolutista almeno abbi le palle
    > di farlo fino in
    > fondo.

    Abbiamo appena cominciato ad occuparci del problema.
    Non ho mica la soluzione in tasca gia' pronta.

    Tu hai giustamente sollevato una eccezione a cui non avevo pensato.

    Oltre al pacemaker quali altri dispositivi medicali sono inseriti sotto pelle?

    Cominciamo a vietare il wireless per tutti i dispositivi di uso esterno che si puo' fare subito e a costo zero.
    Poi analizziamo i dispositivi interni uno per uno e cerchiamo di capire le vulnerabilita'.
  • - Scritto da: panda rossa

    > Lasciamo perdere per il momento il pacemaker che
    > consiste di un dispositivo completamente inserito
    > nel
    > corpo.

    che io sappia il pacemaker è, o può essere, wireless. Ricordo di Dick Cheney che, considerato paranoico, si era fatti disattivare il wireless del suo pacemaker. Magari ricordo male.
    non+autenticato
  • Lo spionaggio dei cavi sottomarini? Dura dagli anni ‘70

    http://www.linkiesta.it/it/article/2013/07/28/lo-s.../
    iRoby
    7812
  • - Scritto da: iRoby
    > Lo spionaggio dei cavi sottomarini? Dura dagli
    > anni
    > ‘70
    >
    > http://www.linkiesta.it/it/article/2013/07/28/lo-s

    il meglio resta sempre il pizzino. Non c'è niente da fare.
    non+autenticato
  • - Scritto da: iRoby
    > Lo spionaggio dei cavi sottomarini? Dura dagli
    > anni
    > ‘70
    >
    > http://www.linkiesta.it/it/article/2013/07/28/lo-s

    Si, ma sono cavi sottomarini, quindi non sorvegliati.

    Il cavo che va dal mio telecomando al mio apparecchio, non e' sottomarino e nessuno lo spia.
  • Niente patch ma ti avviso che sei a rischio, poi sono cavoli tuoi a proteggerti.
    non+autenticato