Luki w bezpieczeństwie robotów medycznych

fot. pixabay

Dekadę temu badacz bezpieczeństwa Barnaby Jack zasłynął z tego, że w ramach transmisji na żywo w sposób bezprzewodowy włamał się do szpitalnej pompy insulinowej, aby zademonstrować, jak łatwo można narazić na szwank zdrowie pacjentów. W minionych latach bezpieczeństwo urządzeń medycznych uległo poprawie, choć czasami zdarzają się głośne wpadki, a naukowcy znajdują luki pośród nowych technologii, które nie były w użytku jeszcze dziesięć lat temu.

Na luki podatne okazały się roboty Aethon, które zostały wyposażone w przestrzeń do transportu krytycznych towarów i otrzymujące zwykle dostęp do zamkniętych części szpitala i możliwość poruszania się windami. Badacze z Cynerio, startupu zajmującego się cyberbezpieczeństwem skoncentrowanym na zabezpieczaniu szpitali i systemów opieki zdrowotnej odkryli zestaw pięciu nigdy wcześniej nie spotykanych luk w zabezpieczeniach robotów, które umożliwiały hakerom zdalne przechwycenie i kontrolowanie tych autonomicznych robotów - w niektórych przypadkach także przez internet.

Pięć luk w zabezpieczeniach, które zostały nazwane JekyllBot:5 nie dotyczyły samych robotów, ale serwerów bazowych służących do komunikacji i sterowania robotami przemierzającymi korytarze szpitali i hoteli. Błędy umożliwiały hakerom utworzenie nowych użytkowników z dostępem na wysokim poziomie, aby następnie za ich pomocą logować się i zdalnie sterować robotami, uzyskiwać dostęp do obszarów o ograniczonym dostępie, szpiegować pacjentów lub gości za pomocą wbudowanych kamer lub w inny sposób wywoływać chaos. Asher Brass, główny badacz luk w Aethon poinformował, że wady te wymagały nikłego zestawu umiejętności do ich wykorzystania.

Przedstawiciele Cynerio poinformowali, że serwery bazowe posiadają interfejs sieciowy, do którego można było uzyskać dostęp z wnętrza sieci szpitalnej, umożliwiając użytkownikom przeglądanie w czasie rzeczywistym obrazów z kamer robota oraz zestawu zadań na dany dzień bez konieczności podawania hasła. Chociaż funkcjonalność robotów jest chroniona przez konto administratora, naukowcy uważają, że luki w interfejsie internetowym mogły pozwolić hakerowi na interakcję bez konieczności logowania się za pomocą hasła administratora.

Jeden z błędów wystawił roboty na zdalne sterowanie za pomocą kontrolera w postacji joysticka, podczas gdy inny mógł zostać wykorzystany do interakcji z zamkami drzwi, dzwonienia, jazdy windami oraz otwierania i zamykania szuflad na leki.

W większości przypadków potencjalne ryzyko zostało ograniczone, jeśli dostęp do serwerów bazowych robotów możliwy był jedynie z poziomu sieci lokalnej. Naukowcy stwierdzili, że ryzyko było znacznie większe w przypadku szpitali, hoteli lub innych miejsc korzystających z robotów, których serwer bazowy był podłączony do Internetu.

Startup podkreśla, że znalazł dowody na obecność robotów wystawionych na ataki internetowe w szpitalach, a także w placówkach zapewniających opiekę weteranom, a Aethon utrzymuje swoje roboty w setkach szpitali na całym świecie.

Błędy zostały naprawione w ramach serii aktualizacji oprogramowania funkcjonalnego i  sprzętowego wydanych przez Aethon po tym, jak Cynerio powiadomił firmę o problemach. Mówi się, że Aethon ograniczył dostęp do serwerów internetowych, aby odizolować roboty od potencjalnych zdalnych ataków i naprawił inne luki w zabezpieczeniach sieci, które miały bezpośredni wpływ na stację bazową.

(rr)