Hackers podem alterar remotamente bombas de remédios em hospitais, diz pesquisador

As vulnerabilidades afetariam cinco modelos de bombas de empresa que tem mais de 400 mil bombas instaladas em hospitais do planeta

Um pesquisador de segurança da informação afirma ter descoberto uma vulnerabilidade em um sistema de bombas de infusão de remédios que permitiria a um hacker alterar remotamente a dosagem de drogas administradas a um paciente.

As vulnerabilidades afetariam pelo menos cinco modelos de bombas fabricadas pela Hospira, uma empresa que tem mais de 400 mil bombas intravenosas instaladas em hospitais do mundo todo.

Segundo Billy Rios, pesquisador que descobriu o problema, a falha permite a invasores alterar remotamente o firmware das bombas, garantindo controle completo dos aparelhos e capacidade de alterar as dosagens dadas aos pacientes.

A falha de segurança estaria no módulo de comunicação das bombas com a internet. Hospitais usam esses módulos para atualizar a biblioteca das drogas que bomba de infusão irá aplicar nos pacientes. Mas eles são conectados por meio de um cabo serial a uma placa nas bombas, que contém o firmware.

A Hospira usa essa conexão serial para acessar remotamente o firmware e o atualizar. Mas hackers também conseguem acessar e fazer a mesma coisa.

No começo do ano, Rios havia divulgado um problema diferente com as bombas da Hospira: invasores poderiam alterar os limites máximos ou mínimos para dosagem de drogas intravenosas.

O pesquisador descobriu que qualquer pessoa que estivesse dentro da rede do hospital, incluindo pacientes ou hackers que acessariam as bombas pela internet, pode subir uma nova biblioteca de remédios, alterando os limites de dosagem para uma droga.

Dessa forma, um invasor poderia aumentar a dosagem de um remédio para acima do limite máximo e a bomba não enviaria um sinal de alerta a equipe de enfermeiros de plantão.

Naquela época, Rios afirmou que ele ainda não havia encontrado uma vulnerabilidade que permitiria alterar a dosagem de um remédio.

O pesquisador diz que pretende apresentar uma prova de conceito da invasão durante a conferência de segurança SummerCon, que acontece em julho em Nova York.

A Hospira não se manifestou a respeito dos possíveis problemas em seus aparelhos.

Fonte: Wired