Federala myndigheter varnade patienter och tillverkare på tisdagen att ett nyligen upptäckt problem med Bluetooth Low Energy-kommunikation kan tillåta datorhackare att fjärrinaktivera eller komma åt pacemakers, glukosmätare, ultraljudsapparater och andra medicinska system.

FDA och Homeland Security Department sa att även om det inte har förekommit några rapporter om patienter som skadats av problemet, programvaran som behövs för att köra en sådan attack är tillgänglig online.

Medtronic bekräftade på tisdagen att vissa av dess produkter är påverkade, men sa att effekten är begränsad till "tillfällig störning av kommunikationsfunktionen" och inte skulle påverka terapin.

FDA:s varning beskrev potentialen för mycket värre problem i andra enheter. "Dessa cybersäkerhetssårbarheter kan tillåta en obehörig användare att trådlöst krascha enheten, stoppa det från att fungera, eller få tillgång till enhetsfunktioner som normalt endast är tillgängliga för den auktoriserade användaren, ", sa FDA:s varning.

Tisdagens larm utlöstes av publiceringen av en akademisk uppsats, "Utlöser förödelse över Bluetooth Low Energy, " som beskrev minst 12 olika säkerhetssårbarheter i enheter som använder en lågenergiversion av Bluetooth-kommunikationssystem. De flesta av sårbarheterna skulle helt enkelt krascha systemen, men ett fåtal skulle tillåta en illvillig hackare inom radiokommunikationsområdet att infoga kommandon som ändrar hur enheter fungerar.

Tillsammans känd som "SweynTooth, "bristerna påverkar datorchips från sju olika tillverkare som används i enheter, inklusive medicinska produkter. Vissa atletiska bärbara enheter påverkas också, "smarta" hemsäkerhetssystem och lås, trådlösa datormusar, och andra.

"De mest kritiska enheterna som kan påverkas allvarligt av SweynTooth är de medicinska produkterna, ", sa uppsatsen från tre författare vid Singapore University of Technology and Design. "Medan vårt team inte verifierade i vilken utsträckning SweynTooth påverkar sådana enheter... rekommenderas det starkt att sådana företag uppdaterar sin firmware. Detta för att undvika varje situation som kan utgöra livshotande risker för patienter som använder respektive medicinska produkter."

SweynTooth-sårbarheterna tillåter en obehörig part att fjärråtkomst till trådlös kommunikation mellan medicinsk utrustning som är "parad" över en Bluetooth Low Energy (BLE)-anslutning.

Bluetooth är ett vanligt kommunikationssystem som används av trådlösa enheter som pratar med varandra. Bluetooth Low Energy är en version av det systemet som kräver mindre energi, vilket gör det attraktivt för enheter som arbetar med begränsad batterikraft, som medicintekniska produkter.

Daniel Beard, verkställande direktör för det Kalifornien-baserade med-tech cybersäkerhetsforskningsföretaget MedISAO, sa att varje tillverkare av berörda enheter måste köra sin egen säkerhetsbedömning eftersom omfattningen av påverkan beror på hur enheten är monterad.

Om samma datorchip inuti en enhet kör både kommunikations- och medicinska terapifunktioner, då kan ett SweynTooth-hack påverka dess medicinska funktionalitet, Sa Beard. Om kommunikation och terapi finns på separata chips, effekten skulle vara begränsad till att störa hur enheten kommunicerar trådlöst med andra enheter.

Pacemakers, diabetesmonitorer och ultraljudsapparater – kategorier som specifikt kallas ut i FDA-varningen – används ofta inom hälso- och sjukvården. Flera enhetsföretag sa på tisdagen att de arbetar med att ta reda på mer information.

"FDA rekommenderar att tillverkare av medicintekniska produkter förblir uppmärksamma på cybersäkerhetssårbarheter och proaktivt åtgärdar dem genom att delta i ett samordnat avslöjande av sårbarheter samt tillhandahålla begränsningsstrategier, "Dr Suzanne Schwartz, en biträdande direktör i FDA:s Center for Devices and Radiological Health, sa i tillkännagivandet.

En taleskvinna för Medtronic bekräftade på tisdagen att flera produktfamiljer är drabbade.

"Hittills, vår analys har bekräftat att dessa (sårbara) hårdvarukomponenter finns i vissa Medtronic-produkter i både våra Cardiac &Vascular och Diabetes produktlinjer. Dock, vår bedömning indikerar att effekten är begränsad till tillfälligt avbrott i kommunikationsfunktionen och inte påverkar terapi, säger taleskvinnan Erika Winkels via e-post.

Medtronic hjärtenheter som påverkas av sårbarheten är:Azure-portföljen av pacemakers; Percepta, Serena, och Solera-familjen av pacemakers för hjärtresynkroniseringsterapi (CRT-Ps); och Cobalt och Crome hjärtresynkroniseringsterapidefibrillatorer (CRT-D).

De diabetesprodukter som påverkas av sårbarheten är:Guardian Connect glukossensorsändare, som är en del av Guardian Connect fristående glukosövervakningssystem; Envision Pro glukosmätare, som är en del av Envision Pro professionella glukosövervakningssystem; och uppladdningsprogrammet MiniMed Connect, " som är ett sekundärt displaytillbehör för de sensorförstärkta insulinpumparna MiniMed 530G och MiniMed Paradigm.

Varken insulinpumpar eller dess sändare för kontinuerlig glukosövervakning (CGM) som kommunicerar med pumpar tillverkade av Medtronic innehåller de berörda hårdvarukomponenterna, sa företaget.

©2020 Star Tribune (Minneapolis)
Distribueras av Tribune Content Agency, LLC.