Κρυφές ευπάθειες στις wearable ιατρικές συσκευές

33 ευπάθειες εντοπίστηκαν στο πρωτόκολλο μεταφοράς δεδομένων για wearables

Με την ψηφιοποίηση του κλάδου της υγειονομικής περίθαλψης να εξελίσσεται ραγδαία, η ασφάλεια στον τομέα του e-health έρχεται όλο και περισσότερο στο προσκήνιο. Τη ίδια στιγμή που το 91% των παρόχων υγειονομικής περίθαλψης εφαρμόζει δυνατότητες τηλεϊατρικής, η ταχεία ψηφιοποίηση δημιουργεί νέους κινδύνους για την ασφάλεια, ειδικά όσον αφορά τα δεδομένα ασθενών.

Κομμάτι της τηλεϊατρικής αποτελεί και η απομακρυσμένη παρακολούθηση ασθενών, η οποία πραγματοποιείται μέσω της χρήσης των λεγόμενων wearables και οθονών. Αυτά περιλαμβάνουν gadget, που μπορούν συνεχώς ή κατά διαστήματα να παρακολουθούν τους δείκτες υγείας ενός ασθενούς, όπως η καρδιακή δραστηριότητα.

Οι ειδικοί της Kaspersky αποκάλυψαν το 2021 ότι το πλέον συνηθισμένο πρωτόκολλο μεταφοράς δεδομένων από wearables, που χρησιμοποιούνται για την απομακρυσμένη παρακολούθηση ασθενών, περιείχε 33 ευπάθειες, συμπεριλαμβανομένων 18 “κρίσιμων τρωτών σημείων”.

Σύμφωνα με την εταιρεία, πρόκειται για 10 περισσότερα τρωτά σημεία σε σχέση με το 2020, ενώ πλήθος από αυτά παραμένουν χωρίς επιδιόρθωση. Ορισμένα από αυτά τα τρωτά σημεία παρέχουν στους εισβολείς τη δυνατότητα να υποκλέψουν δεδομένα, που αποστέλλονται στο διαδίκτυο από τη συσκευή.

“Καθώς τα νοσοκομεία και το προσωπικό υγειονομικής περίθαλψης έχουν κατακλυστεί και πολλοί άνθρωποι βρίσκονται σε καθεστώς καραντίνας στο σπίτι, οι οργανισμοί αναγκάστηκαν να επανεξετάσουν τον τρόπο με τον οποίο παρέχεται η φροντίδα των ασθενών”, τονίζει η Kaspersky.

Ευπάθειες

Η πλειονότητα των wearables παρακολουθεί τόσο τα δεδομένα υγείας, όσο και την τοποθεσία και τις κινήσεις σας. Αυτό, πέρα από το περιθώριο υποκλοπής δεδομένων, δημιουργεί και τη δυνατότητα stalking.

Το πρωτόκολλο MQTT αποτελεί το πλέον συνηθισμένο πρωτόκολλο για τη μετάδοση δεδομένων από wearables και αισθητήρες, καθώς είναι εύχρηστο και βολικό. Συνεπώς, ενδέχεται εκτός από τα wearables να βρεθεί και σε σχεδόν οποιοδήποτε έξυπνο gadget.

Από το 2014, έχουν ανακαλυφθεί 90 ευπάθειες στο MQTT, συμπεριλαμβανομένων κρίσιμων, πολλές από τις οποίες παραμένουν χωρίς επιδιόρθωση μέχρι σήμερα. Το 2021, υπήρχαν 33 νέες ευπάθειες, συμπεριλαμβανομένων 18 κρίσιμων – δηλαδή 10 περισσότερες συγκριτικά με το 2020. Όλες αυτές οι ευπάθειες θέτουν τους ασθενείς σε κίνδυνο υποκλοπής των δεδομένων τους.

Οι ερευνητές της Kaspersky εντόπισαν ευπάθειες όχι μόνο στο πρωτόκολλο MQTT, αλλά και σε μία από τις δημοφιλέστερες πλατφόρμες για wearables: την πλατφόρμα Qualcomm Snapdragon Wearable. Περισσότερες από 400 ευπάθειες έχουν εντοπιστεί από τότε που κυκλοφόρησε η εν λόγω πλατφόρμα, οι οποίες δεν έχουν επιδιορθωθεί στο σύνολο τους, συμπεριλαμβανομένων ορισμένων, που έχουν εντοπιστεί από το 2020.

Συστάσεις ασφαλείας

Για να διατηρούνται τα δεδομένα ασθενών ασφαλή, η Kaspersky συνιστά στους παρόχους υγειονομικής περίθαλψης:

– Να ελέγχουν την ασφάλεια της εφαρμογής ή της συσκευής που προτείνεται από το νοσοκομείο ή τον ιατρικό οργανισμό.

– Να ελαχιστοποιήσουν τα δεδομένα που μεταφέρονται από τις εφαρμογές τηλεϊατρικής, εφόσον είναι δυνατόν (λ.χ. να μην επιτρέπουν στη συσκευή να κοινοποιεί τα δεδομένα τοποθεσίας, εάν δεν είναι απαραίτητο).

– Να αλλάξουν τους κωδικούς πρόσβασης από τους προεπιλεγμένους και να χρησιμοποιούν κρυπτογράφηση, εφόσον παρέχεται ως δυνατότητα από τη συσκευή.