พบช่องโหว่บนเครื่องอินซูลินปั๊ม เสี่ยงผู้ป่วยถูกสั่งฉีดยาเกินขนาด

rapid7_logo

Rapid7 และ Johnson & Johnson ออกมาเปิดเผยถึงช่องโหว่หลายรายการบนเครื่องฉีดอินซูลินปั๊ม (Insulin Pump) OneTouch Ping ของ Animas ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งฉีดยาเกินขนาดจากระยะไกลโดยที่ผู้ป่วยไม่รู้ตัวได้ อย่างไรก็ตามทั้งสองบริษัทระบุว่าความเสี่ยงที่จะเกิดอันตรายนี้ “ค่อนข้างต่ำ”

OneTouch Ping เป็นอุปกรณ์ทางการแพทย์สำหรับใช้ฉีดอินซูลินเข้าสู่ร่างกาย หน้าตาเหมือนเพจเจอร์สมัยก่อน สามารถพกติดตัวไปไหนมาไหนได้ โดยจะส่งอินซูลินเข้าสู่ร่างกายทีละน้อยผ่านทางพอร์ทที่มีเข็มพลาสติกติดอยู่ อุปกรณ์นี้จะมาพร้อมกับรีโมทสำหรับควบคุมการฉีดอินซูลินซึ่งจะรับส่งสัญญาณกันผ่านทางคลื่นสัญญาณวิทยุ

onetouch_ping_insulin_pump_1

Jay Radcliffe นักวิจัยด้านความมั่นคงปลอดภัยจาก Rapid7 ค้นพบว่า อุปกรณ์ OneTouch Ping ไม่มีการเข้ารหัสข้อมูลระหว่างระหว่างเครื่องฉีดกับรีโมท ส่งผลให้แฮ็คเกอร์สามารถลอบส่งสัญญาณปลอมเพื่อสั่งให้เครื่องอินซูลินปั๊มฉีดยาเข้าสู่ร่างกายของผู้ป่วยได้

หลังจากทราบเรื่องดังกล่าว Johnson & Johnson ในฐานะที่เป็นบริษัทแม่ของ Animas ได้ส่งจดหมายไปยังหมอและผู้ป่วยกว่า 114,000 รายทั่วสหรัฐฯ และแคนาดา ชี้แจงเกี่ยวกับช่องโหว่ดังกล่าว พร้อมระบุว่า “ความเป็นไปได้ที่จะเข้าถึงระบบของอุปกรณ์ OneTouch Ping แบบไม่มีสิทธิ์นั้น ต่ำมากๆ” และยืนยันว่าแฮ็คเกอร์จำเป็นต้องเข้าใกล้ผู้ป่วยที่มีเครื่องปั๊มในรัศมี 7.5 เมตรถึงจะสั่งฉีดอินซูลินได้

onetouch_ping_insulin_pump_2

“คนส่วนใหญ่มีความเสี่ยงในระดับหนึ่งจากประเด็นช่องโหว่ดังกล่าว การโจมตีอันแสนแยบยลนี้แฮ็คเกอร์จำเป็นต้องเข้าใกล้เป้าหมายพอสมควร สำหรับบางคนที่คิดว่านี่เป็นเรื่องใหญ่ อาจเลือกปิดการรับส่งสัญญาณกับรีโมทระหว่างไม่ใช่งานเพื่อลดความเสี่ยงได้” — Radcliffe ให้ความเห็น

Radcliffe ยังระบุอีกว่า ผู้ใช้ OneTouch Ping ควรปฏิบัติตามขั้นตอนในจดหมายจาก Johnson & Johnson เพื่อเพิ่มความปลอดภัยให้แก่ตัวเอง โดยในจดหมายจะระบุวิธีการปิดการรับส่งสัญญาณระหว่างเครื่องปั๊มกับรีโมท สำหรับผู้ใช้ที่ยังคงต้องการใช้ฟีเจอร์ดังกล่าว สามารถกำหนดปริมาณอินซูลินที่ร่างกายควรได้รับได้ รวมไปถึงเปิดการสั่นแจ้งเตือนเมื่อมีการสั่งการจากรีโมท ซึ่งช่วยให้ผู้ป่วยสามารถสั่งยกเลิกการฉีดยาได้ทันทีถ้าต้องการ

ผู้ที่สนใจสามารถอ่านรายงานช่องโหว่ฉบับเต็มได้ที่ https://community.rapid7.com/community/infosec/blog/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-animas-onetouch-ping-insulin-pump

ที่มา: http://www.networkworld.com/article/3127223/security/hackers-can-remotely-exploit-insulin-pump-for-unauthorized-insulin-injections.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NASA วางแผนใช้เลเซอร์ส่งอินเทอร์เน็ตความเร็ว 1 Gbps ไปบนอวกาศ

NASA วางแผนส่งข้อมูลระหว่างโลกและสถานีอวกาศนานาชาติ (ISS) ด้วยความเร็ว 1 Gbps ให้ได้ภายในปี 2021 ด้วยการยิงลำแสงเลเซอร์ที่เกิดจากการ encode packet ข้อมูลไปบนอวกาศ

[PR] True IDC คว้ารางวัล “2017 Thailand Data Center Service Provider of the Year” โดย Frost & Sullivan

เมื่อเร็วๆ นี้ บริษัท ทรู อินเทอร์เน็ต ดาต้า เซ็นเตอร์ จำกัด (ทรูไอดีซี), ผู้นำด้านดาต้าเซ็นเตอร์และผู้ให้บริการคลาวด์เต็มรูปแบบครบวงจร นำโดยนายศุภรัตน์ ศิวะเพ็ชรานาถ ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์และเทคโนโลยี บริษัท ทรู …