Bombas de remédios em hospitais podem ser hackeadas remotamente, diz pesquisador

Por Redação | 09 de Junho de 2015 às 08h08

Os hackers podem se aproveitar de vulnerabilidades em sistemas de bombas de infusão de remédios para controlá-las remotamente. É essa a afirmação do pesquisar de segurança da informação Billy Rios, que descobriu falhas que permitem a cibercriminosos alterar a dosagem dos medicamentos administrados a um determinado paciente.

Segundo Rios, a falha de segurança permite que os invasores alterem remotamente o firmware das bombas, garantindo controle absoluto dos aparelhos e capacidade de modificar as dosagens dadas aos pacientes. As vulnerabilidades estão presentes em pelo menos cinco modelos de bombas fabricadas pela Hospira, uma empresa que conta com mais de 400 mil bombas intravenosas instaladas em ambientes hospitalares em todo o mundo.

"Esta é a primeira vez que sabemos da possibilidade de alterar as dosagens", afirmou Rios em entrevista. Isso seria possível por causa de uma falha de segurança que se encontra no módulo de comunicação das bombas com a internet. Hospitais usam esses módulos para poderem atualizar a biblioteca das drogas que a bomba de infusão irá aplicar nos pacientes. No entanto, eles são conectados através de um cabo serial a uma placa nas bombas, que contém o firmware.

A Hospira utiliza essa conexão serial para conseguir acessar de maneira remota o firmware e o atualizar, mas o que faz o caso preocupante é o fato de hackers poderem fazer a mesma coisa. No início do ano, Rios já havia reportado um problema diferente nas bombas da Hospira. Elas estariam permitindo que invasores alterassem os limites máximos ou mínimos para dosagens de drogas intravenosas.

Qualquer pessoa que estivesse dentro da rede do hospital, incluindo um hacker, poderia acessar as bombas pela internet para subir uma nova biblioteca de remédios, alterando os limites de dosagem para uma determinada droga. Sendo assim, o invasor poderia aumentar a dosagem de um remédio para acima do limite máximo e a bomba não emitiria nenhum sinal de alerta para a equipe de enfermeiros de plantão.

Ao verificar o problema, Rios entrou em contato com a Hospira afirmando que invasores poderiam ter pleno controle de suas bombas. No entanto, a fabricante insistiu que a invasão não poderia ser feita, alegando que há uma separação entre o módulo de comunicações e a placa de circuito. Tecnicamente, Rios disse que mesmo com a separação, o cabo serial oferece um ponto de ligação entre os dois componentes.

"A partir de um ponto de vista, parece que estes dois módulos estão separados", disse ele. "Mas quando você abre a bomba, pode ver que eles estão conectados por um cabo serial e estão conectados de uma maneira que qualquer um pode modificar o software central na bomba." O pesquisador disse que a Hospira sabe do problema, visto que utiliza a conexão das placas para fornecer atualizações de firmware para o equipamentos, mas, apesar disso, a empresa insiste que a separação dos componentes é suficiente para bloquear qualquer invasão. "Então, nós estamos desenvolvendo um conceito para provar que isso não é verdade", disse Rios.

O pesquisador afirmou que pretende demonstrar a invasão durante a conferência de segurança SummerCon, que acontece em julho na cidade de Nova Iorque. A Hospira não emitiu qualquer comunicado sobre o caso.

Via Wired

Fonte: http://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/

Siga o Canaltech no Twitter!

Não perca nenhuma novidade do mundo da tecnologia.