Agências federais alertaram pacientes e fabricantes na terça-feira que um problema recentemente descoberto com as comunicações Bluetooth Low Energy pode permitir que hackers de computador desabilitem ou acessem remotamente marcapassos, monitores de glicose, dispositivos de ultrassom e outros sistemas médicos.

O FDA e o Departamento de Segurança Interna disseram que, embora não tenha havido relatos de pacientes prejudicados pelo problema, o software necessário para executar tal ataque está disponível online.

A Medtronic confirmou na terça-feira que alguns de seus produtos foram afetados, mas disse que o impacto é limitado a "interrupção temporária da função de comunicação" e não afetaria a terapia.

O alerta do FDA descreveu o potencial para problemas muito piores em outros dispositivos. "Essas vulnerabilidades de segurança cibernética podem permitir que um usuário não autorizado bloqueie o dispositivo sem fio, pare de funcionar, ou acessar funções do dispositivo normalmente disponíveis apenas para o usuário autorizado, "disse o alerta do FDA.

O alerta de terça-feira foi disparado pela publicação de um artigo acadêmico, "Desencadeando o caos com o Bluetooth de baixa energia, "que descreveu pelo menos 12 vulnerabilidades de segurança diferentes em dispositivos que usam uma versão de baixo consumo de energia dos sistemas de comunicação Bluetooth. A maioria das vulnerabilidades simplesmente travaria os sistemas, mas alguns permitiriam que um hacker malicioso dentro do alcance da radiocomunicação insira comandos que mudam o funcionamento dos dispositivos.

Conhecidos coletivamente como "SweynTooth, "as falhas afetam chips de computador de sete fabricantes diferentes que são usados ​​em dispositivos, incluindo produtos médicos. Também são afetados alguns dispositivos vestíveis para atletas, sistemas e fechaduras "inteligentes" de segurança doméstica, mouse de computador sem fio, e outros.

"Os dispositivos mais críticos que podem ser severamente afetados pelo SweynTooth são os produtos médicos, "disse o artigo de três autores da Universidade de Tecnologia e Design de Cingapura." Embora nossa equipe não tenha verificado até que ponto o SweynTooth afeta esses dispositivos ... é altamente recomendável que essas empresas atualizem seu firmware. Isso é para evitar qualquer situação que possa representar risco de vida para os pacientes que usam os respectivos produtos médicos. "

As vulnerabilidades do SweynTooth permitem que uma parte não autorizada acesse remotamente as comunicações sem fio entre dispositivos médicos "emparelhados" por meio de uma conexão Bluetooth Low Energy (BLE).

Bluetooth é um sistema de comunicação comum usado por dispositivos sem fio que se comunicam. Bluetooth Low Energy é uma versão desse sistema que requer menos energia, o que o torna atraente para dispositivos que operam com energia limitada da bateria, como dispositivos médicos.

Daniel Beard, diretor-gerente da empresa de pesquisa de segurança cibernética de tecnologia médica com sede na Califórnia, MedISAO, disse que cada fabricante de dispositivos afetados terá que executar sua própria avaliação de segurança porque a extensão do impacto depende de como o dispositivo é montado.

Se o mesmo chip de computador dentro de um dispositivo estiver executando funções de comunicação e terapia médica, então, um hack do SweynTooth pode afetar sua funcionalidade médica, Beard disse. Se a comunicação e a terapia estiverem em chips separados, o efeito seria limitado a interromper como o dispositivo se comunica sem fio com outros dispositivos.

Pacemakers, Monitores de diabetes e aparelhos de ultrassom - categorias especificamente citadas no alerta da FDA - são amplamente usados ​​na área de saúde. Várias empresas de dispositivos disseram na terça-feira que estão trabalhando para obter mais informações.

"O FDA recomenda que os fabricantes de dispositivos médicos fiquem alertas para vulnerabilidades de segurança cibernética e as resolvam de forma proativa, participando da divulgação coordenada de vulnerabilidades, bem como fornecendo estratégias de mitigação, "Dra. Suzanne Schwartz, um vice-diretor do Centro de Dispositivos e Saúde Radiológica da FDA, disse no anúncio.

Uma porta-voz da Medtronic confirmou na terça-feira que várias famílias de produtos foram afetadas.

"A data, nossa análise confirmou que esses componentes de hardware (vulneráveis) estão presentes em alguns produtos da Medtronic em ambas as linhas de produtos Cardiac &Vascular e Diabetes. Contudo, nossa avaliação indica que o impacto é limitado à interrupção temporária da função de comunicação e não afeta a terapia, ", disse a porta-voz Erika Winkels por e-mail.

Os dispositivos cardíacos da Medtronic afetados pela vulnerabilidade são:o portfólio Azure de marcapassos; o Percepta, Serena, e família Solera de marcapassos de terapia de ressincronização cardíaca (CRT-Ps); e os desfibriladores de terapia de ressincronização cardíaca de Cobalto e Crome (CRT-Ds).

Os produtos para diabetes afetados pela vulnerabilidade são:o transmissor do sensor de glicose Guardian Connect, que faz parte do sistema autônomo de monitoramento de glicose Guardian Connect; o gravador de glicose Envision Pro, que faz parte do sistema profissional de monitoramento de glicose Envision Pro; e o uploader MiniMed Connect ", "que é um acessório de exibição secundária para as bombas de insulina aumentadas por sensor MiniMed 530G e MiniMed Paradigm.

Nem as bombas de insulina nem seus transmissores de monitoramento contínuo de glicose (CGM) que se comunicam com as bombas feitas pela Medtronic contêm os componentes de hardware afetados, disse a empresa.

© 2020 Star Tribune (Minneapolis)
Distribuído pela Tribune Content Agency, LLC.