Federale instanties waarschuwden dinsdag patiënten en fabrikanten dat een recent ontdekt probleem met Bluetooth Low Energy-communicatie computerhackers in staat kan stellen op afstand pacemakers uit te schakelen of toegang te krijgen, glucosemeters, ultrasone apparaten en andere medische systemen.

De FDA en de afdeling Binnenlandse Veiligheid zeiden dat hoewel er geen meldingen zijn van patiënten die door het probleem zijn geschaad, de software die nodig is om een ​​dergelijke aanval uit te voeren, is online beschikbaar.

Medtronic heeft dinsdag bevestigd dat sommige van zijn producten zijn getroffen, maar zei dat de impact beperkt is tot "tijdelijke verstoring van de communicatiefunctie" en geen invloed zou hebben op de therapie.

De waarschuwing van de FDA beschreef het potentieel voor veel ergere problemen in andere apparaten. "Door deze kwetsbaarheden in de cyberbeveiliging kan een onbevoegde gebruiker het apparaat draadloos laten crashen. stoppen met werken, of toegang tot apparaatfuncties die normaal alleen beschikbaar zijn voor de geautoriseerde gebruiker, " aldus de waarschuwing van de FDA.

De waarschuwing van dinsdag werd geactiveerd door de publicatie van een academisch artikel, "Chaos ontketenen via Bluetooth Low Energy, " die ten minste 12 verschillende beveiligingsproblemen schetste in apparaten die een energiezuinige versie van Bluetooth-communicatiesystemen gebruiken. De meeste kwetsbaarheden zouden de systemen eenvoudigweg laten crashen, maar een paar zouden een kwaadwillende hacker binnen het bereik van radiocommunicatie toestaan ​​om commando's in te voegen die de werking van apparaten veranderen.

Gezamenlijk bekend als "SweynTooth, " de gebreken treffen computerchips van zeven verschillende fabrikanten die in apparaten worden gebruikt, inclusief medische producten. Ook getroffen zijn bepaalde atletische draagbare apparaten, "slimme" beveiligingssystemen en sloten voor in huis, draadloze computermuizen, en anderen.

"De meest kritieke apparaten die ernstig door SweynTooth kunnen worden getroffen, zijn de medische producten, "Het artikel van drie auteurs van de Singapore University of Technology and Design zei. "Hoewel ons team niet heeft geverifieerd in hoeverre SweynTooth dergelijke apparaten beïnvloedt, wordt het ten zeerste aanbevolen dat dergelijke bedrijven hun firmware bijwerken. Dit is om elke situatie te vermijden die levensbedreigende risico's zou kunnen opleveren voor de patiënten die de respectieve medische producten gebruiken."

De SweynTooth-kwetsbaarheden stellen een onbevoegde partij in staat om op afstand toegang te krijgen tot draadloze communicatie tussen medische apparaten die zijn "gekoppeld" via een Bluetooth Low Energy (BLE)-verbinding.

Bluetooth is een algemeen communicatiesysteem dat wordt gebruikt door draadloze apparaten die met elkaar praten. Bluetooth Low Energy is een versie van dat systeem die minder energie nodig heeft, waardoor het aantrekkelijk is voor apparaten die werken op een beperkt batterijvermogen, zoals medische apparaten.

Daniël Baard, directeur van het in Californië gevestigde med-tech cyberbeveiligingsonderzoeksbureau MedISAO, zei dat elke fabrikant van getroffen apparaten zijn eigen beveiligingsbeoordeling zal moeten uitvoeren, omdat de omvang van de impact afhangt van hoe het apparaat is geassembleerd.

Als dezelfde computerchip in een apparaat zowel communicatie- als medische therapiefuncties uitvoert, dan kan een SweynTooth-hack de medische functionaliteit aantasten, zei baard. Als communicatie en therapie op aparte chips staan, het effect zou beperkt zijn tot het verstoren van de manier waarop het apparaat draadloos communiceert met andere apparaten.

Pacemakers, diabetesmonitors en ultrasone apparaten - categorieën die specifiek worden genoemd in de FDA-waarschuwing - worden veel gebruikt in de gezondheidszorg. Verschillende apparaatbedrijven zeiden dinsdag dat ze eraan werkten om meer informatie te krijgen.

"De FDA beveelt fabrikanten van medische hulpmiddelen aan alert te blijven op kwetsbaarheden in cyberbeveiliging en deze proactief aan te pakken door deel te nemen aan gecoördineerde openbaarmaking van kwetsbaarheden en door mitigatiestrategieën te bieden, "Dr. Suzanne Schwartz, adjunct-directeur van het FDA's Center for Devices and Radiological Health, zei in de aankondiging.

Een woordvoerster van Medtronic bevestigde dinsdag dat verschillende productfamilies getroffen zijn.

"Daten, onze analyse heeft bevestigd dat deze (kwetsbare) hardwarecomponenten aanwezig zijn in sommige producten van Medtronic in zowel onze productlijnen voor hart- en vaatziekten als diabetes. Echter, onze beoordeling geeft aan dat de impact beperkt is tot tijdelijke verstoring van de communicatiefunctie en geen invloed heeft op de therapie, ', laat woordvoerster Erika Winkels per e-mail weten.

Hartapparaten van Medtronic die getroffen zijn door de kwetsbaarheid zijn:het Azure-portfolio van pacemakers; de Percepta, Serena, en Solera-familie van pacemakers voor cardiale resynchronisatietherapie (CRT-P's); en de Cobalt en Crome defibrillatoren voor cardiale resynchronisatietherapie (CRT-D's).

De diabetesproducten die getroffen zijn door de kwetsbaarheid zijn:de Guardian Connect-glucosesensorzender, dat deel uitmaakt van het stand-alone glucosemonitoringsysteem Guardian Connect; de Envision Pro glucoserecorder, dat deel uitmaakt van het professionele glucosemonitoringsysteem Envision Pro; en de MiniMed Connect "uploader, ", een secundair displayaccessoire voor de MiniMed 530G en MiniMed Paradigm sensor-vergrote insulinepompen.

Noch insulinepompen, noch de CGM-zenders (Continuous Glucose Monitoring) die communiceren met pompen van Medtronic bevatten de betrokken hardwarecomponenten. zei het bedrijf.

©2020 Star Tribune (Minneapolis)
Gedistribueerd door Tribune Content Agency, LLC.