USA, il dispensatore di insulina diventa un killer?

USA, il dispensatore di insulina diventa un killer?

Una vulnerabilità che interessa la comunicazione wireless tra telecomando e dispositivo potrebbe essere sfruttata per iniettare una dose letale
Una vulnerabilità che interessa la comunicazione wireless tra telecomando e dispositivo potrebbe essere sfruttata per iniettare una dose letale

Una vulnerabilità scoperta da Jay Radcliffe, ricercatore in materia di sicurezza, pubblicata sul blog della società Rapid7 di cui è dipendente rivela l’esistenza di una falla che interessa il dispensatore di insulina OneTouch Ping di Animas Corporation , società acquisita da Johnson&Johnson nel 2006. Se sfruttata, la vulnerabilità potrebbe compromettere la salute dei pazienti che ne fanno uso, in maniera anche grave.

Animas OneTouch Ping

Parlando di sicurezza si tende a pensare alle protezioni delle reti di governi, istituzioni e grandi società, come nei recenti casi che hanno coinvolto le email di Yahoo e il database del Democratic National Committee (DNC) durante la campagna elettorale per le presidenziali statunitensi. Difficilmente un pirata potrebbe interessarsi all’hacking di un dispensatore di insulina, ma il rischio esiste, tanto che Johnson&Johnson ha deciso di allertare i pazienti circa la sua vulnerabilità.

Per fortuna la percentuale di persone affette da diabete che fanno uso del dispensatore in oggetto è relativamente bassa. Sembra infatti che i pazienti interessati dal problema siano attualmente 114mila. Se sfruttata da un malintenzionato, però, tale vulnerabilità potrebbe procurare un’overdose di insulina. Nella pagina del prodotto si legge come il OneTouch Ping di Animas fornisca un telecomando “Meter” mediante il quale i pazienti possono dispensare una dose di insulina senza la necessità di agire sul dispositivo. Oltre al controllo del livello di zuccheri presenti nel sangue, il telecomando consente anche di controllare a distanza le funzioni della pompa, determinare la quantità di insulina necessaria in un determinato momento e altro.

hacking Animas OneTouch Ping

La vulnerabilità scoperta da Jay Radcliffe interessa la connessione wireless tra telecomando e dispositivo, che usa un protocollo proprietario nella banda dei 900MHz . La comunicazione tra telecomando e dispensatore avviene tuttavia in chiaro, senza l’uso di crittografia . Come riferisce lo stesso Radcliffe, un hacker che agisca nelle vicinanze del dispensatore, che ha un raggio di azione limitato, potrebbe simulare una connessione remota “Meter” e “sfruttare la vulnerabilità per procurare una reazione ipoglicemica al paziente, se questi non riuscisse a fermare in tempo l’erogazione di insulina”.

La vulnerabilità è molto simile a quella che ha interessato le tastiere wireless Logitech, il cui protocollo di connessione in chiaro consentiva di “sniffare” i dati trasmessi. Accedendo alla connessione tra telecomando e dispensatore, sniffando la chiave trasmessa tra dispensatore e dispositivo remoto che rimane inalterata ogni qualvolta i due dispositivi rimangono accoppiati, gli attaccanti possono visionare i valori glicemici e i dati relativi al dosaggio dell’insulina.

Prima di avvisare i pazienti, Johnson&Johnson ha cercato di riprodurre l’hack scoperto da Radcliffe. La società ha quindi deciso di segnalare pubblicizzare la vicenda, come riferito a Reuters da Brian Levy, responsabile medico dell’unità di Johnson&Johnson per il diabete, confermando che si possa effettivamente iniettare ai pazienti dosi letali di insulina entro un raggio d’azione di circa 8 metri . Nella lettera , Johnson&Johnson ha comunicato ai proprietari dei OneTouch Ping le proprie preoccupazioni per un potenziale attacco, invitando loro a non usare il telecomando o, in alternativa, di impostare un limite nella quantità massima di insulina dispensabile. I pazienti possono anche attivare una funzione di avviso (vibrazione) che li allerti nel caso di dosi richieste tramite telecomando.

Thomas Zaffino

Fonti immagini 1 , 2

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
7 ott 2016
Link copiato negli appunti