A suscetibilidade de Billy Rios às bombas de injeção de medicamentos aumenta a dose

Quando o pesquisador de segurança Billy Rios disse no início de 2015 que havia descoberto vulnerabilidades em uma bomba de injeção de drogas popular que permite que hackers aumentem o limite de dose de medicamentos fornecidos aos pacientes, ninguém estava preocupado o suficiente.Billy Rios Hospira Ameixa A plus

A alteração dos limites permitidos de medicamentos significava que, se um profissional de saúde ordenasse acidentalmente que a bomba desse uma dose muito alta ou muito baixa, a bomba não emitirá nenhum aviso.

Mas o mesmo pesquisador anunciou recentemente que as bombas tinham vulnerabilidades que permitem que hackers alterem substancialmente a dosagem.

Billy Rios relata que ele descobriu fraquezas muito mais sérias em vários modelos de bombas do mesmo fabricante, que permitem que hackers alterem secreta e remotamente a quantidade de medicamentos administrados a um paciente.

“É a primeira vez que sabemos que podemos mudar a dosagem”, disse Rios à Wired.

Sabe-se que as vulnerabilidades afetam pelo menos cinco modelos de bombas de injeção de medicamentos fabricadas pela Hospira, uma empresa de Illinois que distribuiu mais de 400.000 bombas de drogas intravenosas para hospitais em todo o mundo.

Os modelos vulneráveis ​​incluem as bombas PCA Lifecare padrão da empresa: PCA3 LifeCare e PCA5 LifeCare. As bombas da linha Symbiq, que a empresa deixou de ter em 2013 por questões de qualidade e segurança, bem como as bombas Plum A +. A Hospira vendeu pelo menos 325.000 dos modelos mais recentes em hospitais em todo o mundo.

Estes são os sistemas que o Rios sabe com certeza que são vulneráveis ​​porque os tentaram. Mas suspeita-se que os modelos Plum A + 3, Sapphire e SapphirePlus da empresa tenham igualmente problemas de segurança.

As novas vulnerabilidades descobertas pelo Billy Rios permitir que os invasores alterem remotamente o firmware das bombas, dando a eles controle total dos dispositivos e a capacidade de alterar as doses fornecidas aos pacientes, mas também importante é que os invasores também possam alterar a tela de exibição da bomba para indica que a dosagem é normal.

A Billy Rios apresentará o primeiro PoC na conferência de segurança SummerCon no Brooklyn, Nova York, no próximo mês.