Bomba de infusão PLUM A+3 da Hospira
(Billy Rios / Divulgação)
O pesquisador Billy Rios descobriu vulnerabilidades preocupantes que podem ser exploradas remotamente por hackers em vários tipos de bombas de infusão de remédios fabricadas pela Hospira, empresa com base estabelecida nos Estados Unidos.
A vulnerabilidade permitiria, por exemplo, que um usuário controlasse o dispositivo médico modificando as dosagens de medicação administradas a pacientes em tratamento.
Reincidência
Esta não é a primeira vez que o pesquisador encontra problema com dispositivos dessa mesma fabricante. Em 2014, Rios reportou aos órgãos americanos competentes sobre várias brechas que viabilizariam ataques a linha de bombas PCA 3 Lifecare. Eventualmente o Food and Drug Administration (FDA), agência reguladora norte-americana, publicou uma nota de segurança sobre essas vulnerabilidades quando o caso veio a público devido a exploração do problema por outros especialistas. O fato é que quando Rios contatou a Hospira em 2014, ouviu da empresa uma recusa em testar outras bombas de infusão que eram vendidas portando o mesmo sistema. Essa recusa levou-o a continuar a pesquisa em outras linhas de produtos.
“O que eu encontrei foi muito interessante, pois muitas bombas de infusão da Hospira usam um software idêntico em seus módulos de comunicação tornado a todos vulneráveis exatamente pelo mesmo problema de segurança associado ao PCA 3” compartilhou ele em seu blog.
Produtos contestados
Confirmadamente, as linhas afetadas até momento são as seguintes: CA 3 Lifecare, PCA 5 Lifecare, Plum A+ Infusion Pumps, PCA Lifecare, e Symbiq (fora de catálogo).
Segundo reportagem da Wired , a Hospira negou os problemas dizendo que esses ataques são impossíveis uma vez que os módulos de comunicação e a placa de circuitos são fisicamente separadas.
Um comunicado da Hospira enviado à imprensa nesta quarta-feira (10) afirma que a empresa está trabalhando com o governo norte-americano para investigar as falhas nos modelos indicados nos alertas. A linha Plum A+ não consta nos alertas emitidos pelo governo. A empresa ainda minimizou o problema, dizendo que para realizar o ataque é preciso antes burlar defesas da rede hospitalar.
A linha Plum A+ é comercializada globalmente, inclusive no Brasil.
Rios respondeu que “de um ponto de vista de arquitetura, parece que os dois módulos são separados, mas quando você abre o dispositivo, você descobre que os componentes são ligados via cabo serial, e de uma maneira que certamente lhe permite alterar o núcleo do software da bomba”. Ele está preparando uma prova de conceito para constatar sua acusação mês que vem na conferência de segurança SummerCon em Nova York.
Linha Defensiva 