SAP resolve falhas em aplicativo mobile para o setor médico

Por Redação | 23 de Março de 2015 às 11h23

A SAP informou a correção de duas falhas críticas de segurança no EMR (Electronic Medical Records), o seu principal aplicativo mobile para o setor médico. Os problemas permitiam o acesso não autorizado aos dados de um usuário por meio de outros softwares ou, ainda, a inserção de informações falsas nos servidores acessados tanto por pacientes quanto por instituições de saúde.

Os problemas eram considerados críticos e, de acordo com a companhia, poderiam trazer grandes danos aos usuários. No primeiro caso, por exemplo, esforços de phishing e espionagem poderiam ser propiciados pela inserção de um malware no smartphone ou tablet utilizado. Esses programas maliciosos poderiam, então, passar a coletar os dados disponíveis ali, gerando uma brecha na privacidade dos pacientes.

A falha acontecia por meio de uma injeção de SQL e mostra que, até o momento da atualização, o SAP EMR tinha problemas de isolamento. Apps mobile normalmente rodam em modo sandbox, como chamam os desenvolvedores, com suas informações não podendo ser acessadas por outros softwares disponíveis no mesmo aparelho a não ser, claro, que o usuário dê autorização expressa para isso.

O segundo problema, talvez ainda mais grave, é a possibilidade de alterar arquivos de configuração do aplicativo de forma a alterar os dados médicos disponíveis. Tais informações eram enviadas para os servidores da instituição de saúde e substituíam arquivos legítimos, o que poderia abrir brechas para fraudes ou quebras na privacidade de seus usuários.

Como as novas informações pareceriam legítimas, apenas os olhares mais atentos poderiam notar a alteração, o que seria o caso de médicos acompanhando um diagnóstico, por exemplo, ou a comparação dos resultados com exames laboratoriais realizados. Ainda assim, a possibilidade de algo assim poderia causar sérios problemas tanto a usuários que estejam de acordo com as normas e que, por algum motivo, estejam sendo alvo de ataques, ou então para as instituições no caso de alterações deliberadas das informações médicas.

Ambas as falhas foram descobertas pela ERPScan, uma firma de segurança especializada na análise do estado de segurança de aplicativos utilizados por grandes empresas. Elas foram informadas a SAP antes de serem divulgadas ao público e resolvidas há cerca de um mês, com tempo mais do que suficiente para testes e a garantia de que não existem mais problemas relacionados.

Além dos problemas citados, a SAP também teria solucionado uma vulnerabilidade em seus próprios servidores, que permitiria a realização de um ataque de negação de serviço a partir de softwares mobile de acesso às suas soluções. Se explorada por um hacker, a abertura poderia facilitar uma sobrecarga nos servidores mobile da companhia, o que deixaria todas as suas aplicações fora do ar por um determinado tempo e acabaria por prejudicar os negócios não apenas da própria desenvolvedora, mas também de seus clientes.

Aqui, também, a vulnerabilidade foi solucionada e devidamente testada antes da divulgação das informações ao público. O método é padrão para garantir a segurança das informações e evitar que hackers sejam alertados pelo noticiário e acabem explorando as falhas enquanto o desenvolvedor não libera as atualizações devidas.

Fonte: PC World

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.