Компания Animas, производитель медицинской техники, предупреждает пользователей ее инсулиновой помпы OneTouch Ping о проблемах безопасности, обнаруженных Джеем Рэдклиффом, исследователем из компании Rapid7, страдающим сахарным диабетом. Недоработки связаны с тем, что информация, которой помпа обменивается с глюкометром по радиосвязи, передается без шифрования.
Брешь позволяет атакующим прослушивать трафик, выясняя показания глюкометра и дозировку инсулина. Можно также отправлять помпе сфальсифицированные данные с измененной дозировкой, которые прибор примет за реальные; есть вероятность таким способом спровоцировать гипокликемический шок. Еще одна возможная атака — перехват команд, которые злоумышленник может впоследствии воспроизводить, тем самым заставляя помпу выдавать инсулин в произвольное время.
Связь между глюкометром и помпой сохраняется на расстоянии до 10 м, но теоретически атакующий может увеличить радиус, если воспользуется усиливающей аппаратурой.
Исследователь заранее предупредил Animas и помог в устранении недоработок, но так происходит не всегда. Недавно компания MedSec, обнаружившая брешь безопасности в кардиостимуляторах St. Jude Medical, продала эти сведения инвестиционной фирме, играющей на понижение акций, после чего та опубликовала полученную информацию.
