Le agenzie federali hanno avvertito i pazienti e i produttori martedì che un problema scoperto di recente con le comunicazioni Bluetooth Low Energy potrebbe consentire agli hacker di disabilitare o accedere a pacemaker da remoto, monitor del glucosio, dispositivi ad ultrasuoni e altri sistemi medici.

La FDA e il Dipartimento per la sicurezza interna hanno affermato che, sebbene non ci siano state segnalazioni di pazienti danneggiati dal problema, il software necessario per eseguire un tale attacco è disponibile online.

Medtronic ha confermato martedì che alcuni dei suoi prodotti sono interessati, ma ha detto che l'impatto è limitato alla "interruzione temporanea della funzione di comunicazione" e non avrebbe alcun impatto sulla terapia.

L'allarme della FDA ha descritto il potenziale per problemi molto peggiori in altri dispositivi. "Queste vulnerabilità di sicurezza informatica possono consentire a un utente non autorizzato di bloccare il dispositivo in modalità wireless, smettila di funzionare, o accedere a funzioni del dispositivo normalmente disponibili solo per l'utente autorizzato, "Si legge nell'allerta della FDA.

L'allarme di martedì è stato attivato dalla pubblicazione di un documento accademico, "Liberare il caos su Bluetooth Low Energy, " che ha delineato almeno 12 diverse vulnerabilità di sicurezza nei dispositivi che utilizzano una versione a basso consumo di sistemi di comunicazione Bluetooth. La maggior parte delle vulnerabilità semplicemente arresterebbe i sistemi, ma alcuni consentirebbero a un hacker malintenzionato all'interno del raggio di comunicazione radio di inserire comandi che modificano il funzionamento dei dispositivi.

Conosciuto collettivamente come "SweynTooth, " i difetti interessano i chip dei computer di sette diversi produttori che vengono utilizzati nei dispositivi, compresi i prodotti medici. Sono interessati anche alcuni dispositivi indossabili sportivi, sistemi e serrature "intelligenti" per la sicurezza domestica, mouse senza fili del computer, e altri.

"I dispositivi più critici che potrebbero essere gravemente colpiti da SweynTooth sono i prodotti medici, "Il documento di tre autori della Singapore University of Technology and Design afferma. "Anche se il nostro team non ha verificato la misura in cui SweynTooth influisce su tali dispositivi ... è altamente raccomandato che tali aziende aggiornino il loro firmware. Questo per evitare qualsiasi situazione che potrebbe mettere a rischio la vita dei pazienti che utilizzano i rispettivi prodotti medici".

Le vulnerabilità di SweynTooth consentono a una parte non autorizzata di accedere in remoto alle comunicazioni wireless tra dispositivi medici "accoppiati" tramite una connessione Bluetooth Low Energy (BLE).

Il Bluetooth è un sistema di comunicazione comune utilizzato dai dispositivi wireless che comunicano tra loro. Bluetooth Low Energy è una versione di quel sistema che richiede meno energia, che lo rende attraente per i dispositivi che funzionano con una batteria limitata, come i dispositivi medici.

Daniele Barba, amministratore delegato della società di ricerca sulla sicurezza informatica Med-tech con sede in California MedISAO, ha affermato che ogni produttore di dispositivi interessati dovrà eseguire la propria valutazione della sicurezza perché l'entità dell'impatto dipende da come è assemblato il dispositivo.

Se lo stesso chip del computer all'interno di un dispositivo esegue sia le comunicazioni che le funzioni medico-terapeutiche, quindi un hack di SweynTooth potrebbe influire sulla sua funzionalità medica, ha detto la barba. Se le comunicazioni e la terapia sono su chip separati, l'effetto sarebbe limitato all'interruzione del modo in cui il dispositivo comunica in modalità wireless con altri dispositivi.

pacemaker, i monitor per il diabete e le macchine a ultrasuoni, categorie specificatamente richiamate nell'avviso della FDA, sono ampiamente utilizzati nell'assistenza sanitaria. Diverse aziende produttrici di dispositivi hanno dichiarato martedì che stavano lavorando per scoprire ulteriori informazioni.

"La FDA raccomanda ai produttori di dispositivi medici di stare attenti alle vulnerabilità della sicurezza informatica e di affrontarle in modo proattivo partecipando alla divulgazione coordinata delle vulnerabilità e fornendo strategie di mitigazione, "Dott.ssa Suzanne Schwartz, un vicedirettore del Centro per i dispositivi e la salute radiologica della FDA, detto nell'annuncio.

Una portavoce di Medtronic ha confermato martedì che diverse famiglie di prodotti sono interessate.

"Ad oggi, la nostra analisi ha confermato che questi componenti hardware (vulnerabili) sono presenti in alcuni prodotti Medtronic nelle nostre linee di prodotti Cardiac &Vascular e Diabetes. Però, la nostra valutazione indica che l'impatto è limitato all'interruzione temporanea della funzione di comunicazione e non ha alcun impatto sulla terapia, La portavoce Erika Winkels ha detto via e-mail.

I dispositivi cardiaci Medtronic interessati dalla vulnerabilità sono:il portafoglio Azure di pacemaker; la Percetta, Serena, e la famiglia Solera di pacemaker per terapia di resincronizzazione cardiaca (CRT-P); e i defibrillatori per terapia di resincronizzazione cardiaca Cobalt e Crome (CRT-D).

I prodotti per il diabete interessati dalla vulnerabilità sono:il trasmettitore del sensore di glucosio Guardian Connect, che fa parte del sistema di monitoraggio del glucosio autonomo Guardian Connect; il registratore di glucosio Envision Pro, che fa parte del sistema di monitoraggio professionale del glucosio Envision Pro; e l'uploader di MiniMed Connect, " che è un accessorio di visualizzazione secondario per i microinfusori di insulina MiniMed 530G e MiniMed Paradigm.

Né le pompe per insulina né i suoi trasmettitori di monitoraggio continuo del glucosio (CGM) che comunicano con le pompe prodotte da Medtronic contengono i componenti hardware interessati, ha detto la società.

©2020 Star Tribune (Minneapolis)
Distribuito da Tribune Content Agency, LLC.