Advertisement

พบช่องโหว่บนเครื่องอินซูลินปั๊ม เสี่ยงผู้ป่วยถูกสั่งฉีดยาเกินขนาด

rapid7_logo

Rapid7 และ Johnson & Johnson ออกมาเปิดเผยถึงช่องโหว่หลายรายการบนเครื่องฉีดอินซูลินปั๊ม (Insulin Pump) OneTouch Ping ของ Animas ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งฉีดยาเกินขนาดจากระยะไกลโดยที่ผู้ป่วยไม่รู้ตัวได้ อย่างไรก็ตามทั้งสองบริษัทระบุว่าความเสี่ยงที่จะเกิดอันตรายนี้ “ค่อนข้างต่ำ”

OneTouch Ping เป็นอุปกรณ์ทางการแพทย์สำหรับใช้ฉีดอินซูลินเข้าสู่ร่างกาย หน้าตาเหมือนเพจเจอร์สมัยก่อน สามารถพกติดตัวไปไหนมาไหนได้ โดยจะส่งอินซูลินเข้าสู่ร่างกายทีละน้อยผ่านทางพอร์ทที่มีเข็มพลาสติกติดอยู่ อุปกรณ์นี้จะมาพร้อมกับรีโมทสำหรับควบคุมการฉีดอินซูลินซึ่งจะรับส่งสัญญาณกันผ่านทางคลื่นสัญญาณวิทยุ

onetouch_ping_insulin_pump_1

Jay Radcliffe นักวิจัยด้านความมั่นคงปลอดภัยจาก Rapid7 ค้นพบว่า อุปกรณ์ OneTouch Ping ไม่มีการเข้ารหัสข้อมูลระหว่างระหว่างเครื่องฉีดกับรีโมท ส่งผลให้แฮ็คเกอร์สามารถลอบส่งสัญญาณปลอมเพื่อสั่งให้เครื่องอินซูลินปั๊มฉีดยาเข้าสู่ร่างกายของผู้ป่วยได้

หลังจากทราบเรื่องดังกล่าว Johnson & Johnson ในฐานะที่เป็นบริษัทแม่ของ Animas ได้ส่งจดหมายไปยังหมอและผู้ป่วยกว่า 114,000 รายทั่วสหรัฐฯ และแคนาดา ชี้แจงเกี่ยวกับช่องโหว่ดังกล่าว พร้อมระบุว่า “ความเป็นไปได้ที่จะเข้าถึงระบบของอุปกรณ์ OneTouch Ping แบบไม่มีสิทธิ์นั้น ต่ำมากๆ” และยืนยันว่าแฮ็คเกอร์จำเป็นต้องเข้าใกล้ผู้ป่วยที่มีเครื่องปั๊มในรัศมี 7.5 เมตรถึงจะสั่งฉีดอินซูลินได้

onetouch_ping_insulin_pump_2

“คนส่วนใหญ่มีความเสี่ยงในระดับหนึ่งจากประเด็นช่องโหว่ดังกล่าว การโจมตีอันแสนแยบยลนี้แฮ็คเกอร์จำเป็นต้องเข้าใกล้เป้าหมายพอสมควร สำหรับบางคนที่คิดว่านี่เป็นเรื่องใหญ่ อาจเลือกปิดการรับส่งสัญญาณกับรีโมทระหว่างไม่ใช่งานเพื่อลดความเสี่ยงได้” — Radcliffe ให้ความเห็น

Radcliffe ยังระบุอีกว่า ผู้ใช้ OneTouch Ping ควรปฏิบัติตามขั้นตอนในจดหมายจาก Johnson & Johnson เพื่อเพิ่มความปลอดภัยให้แก่ตัวเอง โดยในจดหมายจะระบุวิธีการปิดการรับส่งสัญญาณระหว่างเครื่องปั๊มกับรีโมท สำหรับผู้ใช้ที่ยังคงต้องการใช้ฟีเจอร์ดังกล่าว สามารถกำหนดปริมาณอินซูลินที่ร่างกายควรได้รับได้ รวมไปถึงเปิดการสั่นแจ้งเตือนเมื่อมีการสั่งการจากรีโมท ซึ่งช่วยให้ผู้ป่วยสามารถสั่งยกเลิกการฉีดยาได้ทันทีถ้าต้องการ

ผู้ที่สนใจสามารถอ่านรายงานช่องโหว่ฉบับเต็มได้ที่ https://community.rapid7.com/community/infosec/blog/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-animas-onetouch-ping-insulin-pump

ที่มา: http://www.networkworld.com/article/3127223/security/hackers-can-remotely-exploit-insulin-pump-for-unauthorized-insulin-injections.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Review] ทดสอบการใช้งานจริงกับ IRIS CLOUD บริการ Cloud IaaS จาก CAT

ทางทีมงาน TechTalkThai มีโอกาสได้ทดลองใช้งาน IRIS CLOUD เป็นบริการ Cloud Infrastructure as a Service (IaaS) จาก CAT มาครับ …

ปูนตรานกอินทรี จับมือ Cisco และ Fujitsu สร้างโรงงานอัจฉริยะด้วย IoT สู่ Digital Connected Plant

ในวันที่ 27 เมษายน 2017 ทางปูนซิเมนต์นครหลวงหรือที่เรารู้จักกันในชื่อปูนตรานกอินทรี ได้ออกมาแถลงถึงความสำเร็จในการทำ Digital Transformation ภายใน INSEE Group ด้วยการจับมือกับ Cisco และ Fujitsu …