Крупный производитель медицинского оборудования, компания Medtronic, отзывает контроллеры для инсулиновых помп. По сути, это пульты дистанционного управления для помп, позволяющие пациентам управлять устройством удаленно, к примеру, изменяя количества инсулина, вводимого пользователю. Дело в том, что в контроллерах были обнаружены серьезные проблемы с кибербезопасностью, которые могут привести к травмам и даже смерти пользователей.
Производителю должны быть возвращены контроллеры MMT-500 и MMT-503, используемые с инсулиновой помпой Medtronic MiniMed 508 и семейством инсулиновых помп MiniMed Paradigm.
Отзыв связан с рядом уязвимостей, которые ИБ-исследователи обнаружили еще в 2018 году. В июне 2019 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) и Medtronic уже сообщали об отзыве инсулиновых помп MiniMed 508 и Paradigm из-за уязвимостей, которые могли использоваться для удаленного взлома устройств.
Теперь Medtronic расширяет отзывную кампанию и организует отзыв удаленных контроллеров, связанных с уязвимыми инсулиновыми помпами. Пользователям этих устройств уже были отправлены обновленные инструкции, в том числе уведомление о том, что контроллер нужно прекратить использовать и вернуть производителю.
По данным FDA, уязвимые медицинские устройства продавались в США в период с августа 1999 года по июль 2018 года, и в настоящее время в стране насчитывается 31 310 таких девайсов, которыми пользуются пациенты с диабетом.
Проблема заключается в том, что в теории посторонний человек, находящийся неподалеку, может записывать и воспроизводить сигналы, передаваемые устройством по беспроводной связи, когда пользователь нажимает кнопку на контроллере и отправляет команды инсулиновой помпе. В итоге хакер получает возможность увеличить или вообще остановить доставку инсулина пациенту. Для людей, страдающих тяжелыми формами диабета, гипогликемией или кетоацидозом, подобное может закончиться очень печально.
В сообщении Medtronic подчеркивается, что компании неизвестно о каких-либо случаях эксплуатации этой уязвимости.
