พบช่องโหว่บนเครื่องอินซูลินปั๊ม เสี่ยงผู้ป่วยถูกสั่งฉีดยาเกินขนาด

rapid7_logo

Rapid7 และ Johnson & Johnson ออกมาเปิดเผยถึงช่องโหว่หลายรายการบนเครื่องฉีดอินซูลินปั๊ม (Insulin Pump) OneTouch Ping ของ Animas ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งฉีดยาเกินขนาดจากระยะไกลโดยที่ผู้ป่วยไม่รู้ตัวได้ อย่างไรก็ตามทั้งสองบริษัทระบุว่าความเสี่ยงที่จะเกิดอันตรายนี้ “ค่อนข้างต่ำ”

OneTouch Ping เป็นอุปกรณ์ทางการแพทย์สำหรับใช้ฉีดอินซูลินเข้าสู่ร่างกาย หน้าตาเหมือนเพจเจอร์สมัยก่อน สามารถพกติดตัวไปไหนมาไหนได้ โดยจะส่งอินซูลินเข้าสู่ร่างกายทีละน้อยผ่านทางพอร์ทที่มีเข็มพลาสติกติดอยู่ อุปกรณ์นี้จะมาพร้อมกับรีโมทสำหรับควบคุมการฉีดอินซูลินซึ่งจะรับส่งสัญญาณกันผ่านทางคลื่นสัญญาณวิทยุ

onetouch_ping_insulin_pump_1

Jay Radcliffe นักวิจัยด้านความมั่นคงปลอดภัยจาก Rapid7 ค้นพบว่า อุปกรณ์ OneTouch Ping ไม่มีการเข้ารหัสข้อมูลระหว่างระหว่างเครื่องฉีดกับรีโมท ส่งผลให้แฮ็คเกอร์สามารถลอบส่งสัญญาณปลอมเพื่อสั่งให้เครื่องอินซูลินปั๊มฉีดยาเข้าสู่ร่างกายของผู้ป่วยได้

หลังจากทราบเรื่องดังกล่าว Johnson & Johnson ในฐานะที่เป็นบริษัทแม่ของ Animas ได้ส่งจดหมายไปยังหมอและผู้ป่วยกว่า 114,000 รายทั่วสหรัฐฯ และแคนาดา ชี้แจงเกี่ยวกับช่องโหว่ดังกล่าว พร้อมระบุว่า “ความเป็นไปได้ที่จะเข้าถึงระบบของอุปกรณ์ OneTouch Ping แบบไม่มีสิทธิ์นั้น ต่ำมากๆ” และยืนยันว่าแฮ็คเกอร์จำเป็นต้องเข้าใกล้ผู้ป่วยที่มีเครื่องปั๊มในรัศมี 7.5 เมตรถึงจะสั่งฉีดอินซูลินได้

onetouch_ping_insulin_pump_2

“คนส่วนใหญ่มีความเสี่ยงในระดับหนึ่งจากประเด็นช่องโหว่ดังกล่าว การโจมตีอันแสนแยบยลนี้แฮ็คเกอร์จำเป็นต้องเข้าใกล้เป้าหมายพอสมควร สำหรับบางคนที่คิดว่านี่เป็นเรื่องใหญ่ อาจเลือกปิดการรับส่งสัญญาณกับรีโมทระหว่างไม่ใช่งานเพื่อลดความเสี่ยงได้” — Radcliffe ให้ความเห็น

Radcliffe ยังระบุอีกว่า ผู้ใช้ OneTouch Ping ควรปฏิบัติตามขั้นตอนในจดหมายจาก Johnson & Johnson เพื่อเพิ่มความปลอดภัยให้แก่ตัวเอง โดยในจดหมายจะระบุวิธีการปิดการรับส่งสัญญาณระหว่างเครื่องปั๊มกับรีโมท สำหรับผู้ใช้ที่ยังคงต้องการใช้ฟีเจอร์ดังกล่าว สามารถกำหนดปริมาณอินซูลินที่ร่างกายควรได้รับได้ รวมไปถึงเปิดการสั่นแจ้งเตือนเมื่อมีการสั่งการจากรีโมท ซึ่งช่วยให้ผู้ป่วยสามารถสั่งยกเลิกการฉีดยาได้ทันทีถ้าต้องการ

ผู้ที่สนใจสามารถอ่านรายงานช่องโหว่ฉบับเต็มได้ที่ https://community.rapid7.com/community/infosec/blog/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-animas-onetouch-ping-insulin-pump

ที่มา: http://www.networkworld.com/article/3127223/security/hackers-can-remotely-exploit-insulin-pump-for-unauthorized-insulin-injections.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนการโจมตี GhostHook บายพาส Windows PatchGuard แม้ Windows 10 ก็ไม่รอด

นักวิจัยด้านความมั่นคงปลอดภัยจาก CyberArk ค้นพบเทคนิคการบายพาสระบบป้องกัน Windows PatchGuard โดยอาศัยฟีเจอร์ของ Intel CPU และลอบส่งโค้ดแปลกปลอมเข้ามารันใน Windows Kernel เพื่อฝัง Rootkis บนระบบปฏิบัติการได้ โดยเรียกการโจมตีนี้ว่า …

Cisco ออก Patch อุด 3 ช่องโหว่รุนแรงระดับสูง และอีก 22 ช่องโหว่อื่น ควรอัปเดตทันที

Cisco ได้ประกาศออก Patch เพื่ออุด 3 ช่องโหว่ที่มีความรุนแรงระดับสูงให้กับ Cisco Prime Infrastructure, Cisco WebEx Network Recording Player และ …