Een onderzoeker heeft in verschillende medische infuussystemen die ziekenhuizen gebruiken om patiënten van geneesmiddelen te voorzien tal van kwetsbaarheden ontdekt waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken.
In mei 2014 rapporteerde onderzoeker Billy Rios een reeks beveiligingslekken in het PCA 3 Lifecare infuussysteem van fabrikant Hospira. Inmiddels zijn er 400 dagen gepasseerd en zijn de problemen nog altijd niet verholpen en Hospira heeft meerdere productlijnen.
Een jaar geleden adviseerde Rios het bedrijf dan ook om de andere productlijnen te laten controleren. Vijf maanden na zijn verzoek kreeg hij te horen dat Hospira niet geinteresseerd was om te controleren of andere infuuspompen kwetsbaar waren. Daarop besloot de onderzoeker zelf de pompen op eigen kosten aan te schaffen en te analyseren. Rios ontdekte dat de andere pompen precies dezelfde software gebruiken, waardoor ze met dezelfde problemen als de PCA 3 te maken hebben.
Zo is het mogelijk om updates van de medicijnbibliotheek in het infuus te vervalsen, blijken identieke, niet te veranderen wachtwoorden en privésleutels voor meerdere productlijnen te worden gebruikt, alsmede encryptiecertificaten. Verder wordt er van verouderde software gebruik gemaakt waarin meer dan 100 kwetsbaarheden aanwezig zijn. "Het gebrek aan transparantie van Hospira is zeker teleurstellend", aldus Rios.
Alles bij de bron; Security