Hackers podem alterar remotamente bombas de remédios em hospitais, diz pesquisador

Um pesquisador de segurança da informação afirma ter descoberto uma vulnerabilidade em um sistema de bombas de infusão de remédios que permitiria a um hacker alterar remotamente a dosagem de drogas administradas a um paciente.

As vulnerabilidades afetariam pelo menos cinco modelos de bombas fabricadas pela Hospital, uma empresa que tem mais de 400 mil bombas intravenosas instaladas e vulneráveis a ataques de hackers em hospitais do mundo todo.

Segundo Billy Rios, pesquisador que descobriu o problema, a falha permite que hackers possam alterar remotamente o firmware das bombas, garantindo controle completo dos aparelhos e capacidade de alterar as dosagens dadas aos pacientes.

A falha de segurança estaria no módulo de comunicação das bombas com a internet. Hospitais usam esses módulos para atualizar a biblioteca das drogas que bomba de infusão irá aplicar nos pacientes. Mas eles são conectados por meio de um cabo serial a uma placa nas bombas, que contém o firmware, mas hackers também conseguem acessar e fazer a mesma coisa.

O Hospital usa essa conexão serial para acessar remotamente o firmware e o atualizar. Mas hackers também conseguem acessar e fazer a mesma coisa.

No começo do ano, Rios havia divulgado um problema diferente com as bombas da Hospital: invasores poderiam alterar os limites máximos ou mínimos para dosagem de drogas intravenosas.

O pesquisador descobriu que qualquer pessoa que estivesse dentro da rede do hospital, incluindo pacientes ou hackers que acessariam as bombas pela internet, pode subir uma nova biblioteca de remédios, alterando os limites de dosagem para uma droga.

Dessa forma, os hackers poderiam aumentar a dosagem de um remédio para acima do limite máximo e a bomba não enviaria um sinal de alerta a equipe de enfermeiros de plantão.

Naquela época, Rios afirmou que ele ainda não havia encontrado uma vulnerabilidade que permitiria alterar a dosagem de um remédio.

O pesquisador diz que pretende apresentar uma prova de conceito da invasão durante a conferência de segurança da informação SummerCon, que acontece em julho em Nova York.

A Hospital não se manifestou a respeito dos possíveis problemas em seus aparelhos.

Fonte: Wired/Suporteninja