image

Diabetici gewaarschuwd voor gevaarlijk beveiligingslek in insulinepomp Medtronic

zaterdag 1 oktober 2022, 08:27 door Redactie, 11 reacties

Fabrikant van medische apparatuur Medtronic heeft diabetici gewaarschuwd voor een gevaarlijke kwetsbaarheid in verschillende insulinepompen, waardoor een aanvaller op afstand de dosering van toegediende insuline kan aanpassen, wat in het ergste geval kan leiden tot het overlijden van de patiënt.

Het probleem is aanwezig in de 600-serie van de MiniMed-insulinepompen. Deze pompen bestaan uit verschillende onderdelen die draadloos met elkaar communiceren. Medtronic ontdekte zelf een kwetsbaarheid in het communicatieprotocol waardoor het mogelijk is voor een aanvaller in de buurt van het slachtoffer om de communicatie tussen deze onderdelen te compromitteren en zo de patiënt teveel of te weinig insuline toe te dienen, wat ernstige medische gevolgen kan hebben. Exacte details over het probleem zijn niet vrijgegeven.

Voor het uitvoeren van de aanval zou een aanvaller wel toegang tot de insulinepomp moeten hebben wanneer die met andere onderdelen wordt gepaird. Medtronic is naar eigen zeggen niet bekend met misbruik van het probleem, maar waarschuwt voor de gevolgen. De fabrikant vindt de kwetsbaarheid zo ernstig dat patiënten wordt aangeraden om de remote bolus feature, voor het op afstand toedienen van extra insuline, uit te schakelen. Daarnaast moeten patiënten de onderdelen van het systeem niet in een openbare locatie pairen. Ook de Amerikaanse toezichthouder FDA heeft inmiddels een waarschuwing afgegeven.

Image

Reacties (11)
01-10-2022, 09:21 door Anoniem
Mij valt op aan het bericht van Medtronic dat ze wel schrijven wat de gebruikers moeten doen, wel dat ze de situatie actief monitoren, maar niet dat ze werken aan een oplossing die het kwetsbaarheid verhelpt.
01-10-2022, 12:15 door Anoniem
Ja, remote control, BlueTooth en IoT hebben heel wat voordelen die ik allemaal gebruik. Zo is mijn BlueTooth tandenborstel gekoppeld aan mijn smartphone. Ik adem over de sensor op de phone en weet of mijn adem ruikt/stinkt. Mijn boormachine is ook aan de IoT en heeft een sensor die baksteen ontdekt. In gevan van baksteen draait hij altijd reschtsom met hamerfunctie geactiveerd want hij moet een gat boren in de stenen muur. Ga zo maar door, ik ben geautomatizeerd!
01-10-2022, 13:18 door Anoniem
Alles wat zelfs maar in contact komt met lichaam en huid mag in de USA niet worden verkocht zonder volledige FDA approval. Dus ook voor een gewone zonnecreme of een oogpotlood of gewoon een bio-massageolie, moeten de hele chemische analyse en veiligheidstests op tafel komen, plus wat er precies op het doosje staat. Superstreng.

En dan doen ze dit af met een "waarschuwing"? Zeker een Amerikaanse firma, dat Medtronic?
01-10-2022, 18:15 door Anoniem
03-10-2022, 07:45 door Anoniem
Door Anoniem: Alles wat zelfs maar in contact komt met lichaam en huid mag in de USA niet worden verkocht zonder volledige FDA approval. Dus ook voor een gewone zonnecreme of een oogpotlood of gewoon een bio-massageolie, moeten de hele chemische analyse en veiligheidstests op tafel komen, plus wat er precies op het doosje staat. Superstreng.

En dan doen ze dit af met een "waarschuwing"? Zeker een Amerikaanse firma, dat Medtronic?
Medtronic is inderdaad een Amerikaans bedrijf.
In de laatste SANS Nieuwsbrief kon je lezen dat een wetsvoorstel inzake de FDA was doorgezet naar de Senaat zonder een onderdeel dat ook Cyver Security zou moeten regelen. Dit soort medische IoT moet nog steeds niet aan wettelijke eisen qua cybersecurity voldoen.
03-10-2022, 09:17 door Anoniem
Door Anoniem: En dan doen ze dit af met een "waarschuwing"? Zeker een Amerikaanse firma, dat Medtronic?

Natuurlijk, want anders was het persbericht 'class action suite, (koreaans/chinees/europeesch) medtronic aangeklaagd voor 1 miljard schadevergoeding'...
Met de VS als vriend heb je geen rusland/china nodig.
03-10-2022, 11:07 door [Account Verwijderd]
Allemaal weer zure kortzichtige reacties hierboven gebaseerd op eenzijdige informatie. Eens in de rondte vragen - in 'the real world' - of zij iemand kennen die gebruik maakt van medische hulpapparatuur? Bah neen... dan moet ik achter mijn muis en keyboard vandaan, dus ik blaat gewoon de internetmeute na want die is in de meerderheid dus zal wel weten hoe het zit.

Het feit dat de fabrikant zelf onderzoek doet, gewoon onderdeel van produktverbetering, wordt bijgevolg maar afgedaan als: "de slager die zijn eigen vlees keurt" En het is al helemaal een gotspe neerbuigend te doen over het feit dat de fabrikant terecht waarschuwt dat er een kwetsbaarheid in het bedoelde apparaat zit en dan die waarschuwing misselijkmakend te verdraaien om hier een partijtje te gaan mekkeren dat het bedrijf alleen waarschuwt uit eigenbelang door het af te doen als slechts een sluwe zet om claims te voorkomen.
(Staat 'u' mij toe even te braken? Dank 'u' wel)

De realiteit:

Oud-collega van mij zou kunnen overlijden aan een hartstilstand indien hij niet over de levensreddende 24-uurs controle functie beschikte via een internetverbinding die monitort of een zogenaamde ICD [*] in nominale staat verkeert. Dat is namelijk een keer het geval geweest. Indien hij daadwerkelijk een hartstilstand zou hebben gekregen zou hij het leven hebben gelaten omdat de ICD niet had kunnen ingrijpen.

Dus heren reaguurders: Eerst breder inlezen en/of informatie vergaren alvorens te blaten en globaal af te kraken.
Als je voor je leven afhankelijk bent van voornoemde apparatuur heb je totaal sch..t aan de mogelijkheid dat iemand - en dan bovendien ook nog uitsluitend d.m.v. direct acces - het betreffende apparaat eventueel zou kunnen compromitteren.

Oh... en voor iemand opmerkt: "wat heeft dat met de insulinepomp te maken?" Antwoord: Medtronic is ook fabrikant van ICD's.

[*] Implantable Cardioverter Defibrillator.
03-10-2022, 13:12 door Anoniem
insulinepompen van Medtronics

2021:
https://www.security.nl/posting/724033/Controller+insulinepompen+teruggeroepen+wegens+lek+waardoor+pati%C3%ABnt+kan+overlijden

2018:
https://www.security.nl/posting/573030/Lek+in+insulinepomp+kan+aanvaller+insuline+laten+toedienen

2013:
https://www.security.nl/posting/41881/Fabrikant+negeert+ernstig+lek+in+insulinepompjes

2011:
https://www.security.nl/posting/34019/Gehackte+insulinepomp+levert+fatale+dosis+aan+pati%C3%ABnt

pacemakers van Medtronic:

2019:
https://www.security.nl/posting/602613/Pacemakers+door+onveilig+protocol+kwetsbaar+voor+aanvallen

2012:
https://www.security.nl/posting/38490/%27Hacker+kan+massamoord+plegen+via+pacemaker-lek%27
03-10-2022, 14:57 door _R0N_
Mijn dochter heet Diabetes Type 1 en is dus insuline afhankelijk.
Jaren geleden, toen was ze 10, kon ze een insuline pomp krijgen en mocht ze kiezen welke ze zelf fijn zou vinden.
Ze wilde de pomp met afstandsbediening absoluut niet, ze was bang dat iemand anders hem in handen zou krijgen en haar een verkeerde dosis zou geven..

Als een kind van 10 dat snapt waarom snappen die bedrijven met hun denktanks dat dan niet?
Waarom moet zo'n ding op afstand te bedienen zijn, je hebt hem in je broekzak (samen met je afstandsbediening).
03-10-2022, 15:29 door [Account Verwijderd]
Door Anoniem: insulinepompen van Medtronics

2021:
https://www.security.nl/posting/724033/Controller+insulinepompen+teruggeroepen+wegens+lek+waardoor+pati%C3%ABnt+kan+overlijden

2018:
https://www.security.nl/posting/573030/Lek+in+insulinepomp+kan+aanvaller+insuline+laten+toedienen

2013:
https://www.security.nl/posting/41881/Fabrikant+negeert+ernstig+lek+in+insulinepompjes

2011:
https://www.security.nl/posting/34019/Gehackte+insulinepomp+levert+fatale+dosis+aan+pati%C3%ABnt

pacemakers van Medtronic:

2019:
https://www.security.nl/posting/602613/Pacemakers+door+onveilig+protocol+kwetsbaar+voor+aanvallen

2012:
https://www.security.nl/posting/38490/%27Hacker+kan+massamoord+plegen+via+pacemaker-lek%27

Kijk, dit is tenminste een reactie met toegevoegde waarde i.p.v. (quote): "Met de VS als vriend heb je geen rusland/china nodig."

Er is dus al vaker gedonder aan de knikker geweest met Medtronic en nu dit weer. Dit is dus écht een heel slechte beurt én bij herhaling en herhaling etc.

In het geval van een Insulinepomp ben ik het volkomen eens met de reactie van _RON_ hierboven. zie: https://www.security.nl/posting/769776#posting769899
Waarom zou een diabetespatiënt een afstandsbediening nodig hebben voor het betreffende medische hulpmiddel? Je kunt op het apparaat zelf toch alles bedienen!

Of....

Ik ken geen diabetespatiënt die afhankelijk is van een insulinepomp. Dus met betrekking daarop kan ik mij niet voorstellen dat de afstandsbediening van zo'n apparaat meer/uitgebreidere functies activeert net als bijv. bij een Blu-ray speler het geval is.
06-10-2022, 11:33 door Anoniem
Zorgelijk dit, zeker omdat de makers van insuline pompen juist vertrouwen op eigen onderdelen en niet bijvoorbeeld een app vanuit een telefoon om een bolus te regelen.

Wat betreft insuline pompen kan ik wel wat duidelijkheid verschaffen;
- Medtronic 600-serie pompen hebben een firmware die niet door de gebruiker ge-update kan worden, de 700-serie heeft dit wel.
- Je bent als diabeet niet afhankelijk van de pomp, maar wel de insuline en een pomp zorgt per definitie voor een betere TIR (Time In Range) dan zelf spuiten. Een pomp is echt een meerwaarde zeker de laatste series die communiceren met de sensor op je arm en via de SmartGuard actief de insuline dosering aanpast. Bolussen is nog wel nodig.
- De 600-serie heeft een afstandsbediening, dat is echt heel handig. Bolussen op je pomp ingeven kan zeker, maar bij bepaalde kleding keuzes is dit totaal niet handig. Denk even aan een jurk bijvoorbeeld.
- De 700-serie heeft een afstandsbediening meer, maar nog wel legio verbonden componenten; BG-meter, sensor, telefoon. Deze zijn verbonden met Bluetooth LE.

Mijn algemene beeld van de 'smart' it van Medtronic is heel wisselend;
- De Mobile Connect app en CareLink Connect app zijn een drama. Bij elke nieuwe iOS of Android release krijg je de melding dat deze niet compatible is en wordt actief gevraagd updates van je telefoon uit te zetten. Dit kan in mijn optiek echt niet! Soms duurt het maanden voordat deze melding verdwijnt.
- App ontwikkeling is traag, zeker op het gebied van de pomp techniek.
- Smart-alles is ondergeschoven kindje, geen watch-apps bijvoorbeeld. Dit zou echt een meerwaarde zijn.
- App marketing is onder de maat, kijk deze week bijvoorbeeld naar de introductie van de nieuwe 'Penny' app. Incompleet verhaal en dekt totaal niet de lading. Vertalingen zijn ook niet helemaal doorgevoerd en registratie werkt niet naar behoren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.