10 лет назад Барнаби Джек взломал по беспроводной связи больничную инсулиновую помпу прямо на сцене перед сотнями людей, чтобы продемонстрировать, как ее можно использовать для введения смертельной дозы лекарства. За прошедшие годы безопасность медицинских устройств стала лучше, хотя иногда случаются громкие сбои. Но сейчас исследователи находят уязвимости в новых больничных технологиях, которые не были столь распространены десять лет назад.
Речь идет об автономных больничных роботах, которые должны быть дружелюбными, самоуправляемыми цифровыми рабочими лошадками, способными перевозить медикаменты, постельное белье, еду, лекарства и лабораторные образцы по территории больничного городка. Эти роботы имеют доступом к системе безопасности, чтобы входить в закрытые части больницы и ездить на лифтах. Но исследователи из Cynerio, стартапа в области кибербезопасности, специализирующегося на защите больничных и медицинских систем, обнаружили в роботах Aethon пять уязвимостей, которые, по их словам, позволяют злоумышленникам удаленно взламывать и контролировать их.
Пять уязвимостей, которые Cynerio назвала JekyllBot:5, связаны не с самими роботами, а с базовыми серверами, которые используются для связи и управления роботами. Эти баги дают возможность создания хакерами новых профилей пользователей с высоким уровнем доступа, чтобы затем войти в систему и удаленно управлять роботами и получить доступ к запрещенным зонам, подглядывать за пациентами или гостями с помощью встроенных в роботов камер. Ашер Брасс, исследователь уязвимостей Aethon, предупредил, что для этого требуется «очень низкий набор навыков».
Cynerio заявила, что базовые серверы имеют веб-интерфейс, доступ к которому возможен из сети больницы, что позволяет «гостевым» пользователям просматривать трансляцию с камер роботов в режиме реального времени и их запланированное расписание и поставленные задачи на день без необходимости ввода пароля. Но хотя функциональность роботов была защищена учетной записью «администратора», по словам исследователей, уязвимости в веб-интерфейсе могли позволить хакеру взаимодействовать с роботами, без необходимости ввода пароля администратора.
Одна из пяти ошибок, по словам исследователей, позволяла дистанционно управлять роботами с помощью джойстика в веб-интерфейсе, а использование другой ошибки позволяло взаимодействовать с дверными замками, вызывать и ездить на лифте, открывать и закрывать ящики с лекарствами.
В большинстве случаев потенциальный риск ограничен, если доступ к базовым серверам роботов ограничивается локальной сетью, ограничивая доступ только вошедшим в систему сотрудникам. Исследователи заявили, что риск гораздо выше для больниц, гостиниц или любых других мест, где используются подобные роботы, у которых базовый сервер подключен к интернету.
Cynerio заявила, что они обнаружили доказательства использования роботов с доступом в интернет в больницах, а также в учреждениях, обеспечивающих уход за ветеранами. Компания Aethon утверждает, что ее роботы используются в сотнях больниц по всему миру, многие из которых находятся в США. Ошибки были исправлены с выходом обновления ПО и прошивки, выпущенных Aethon после того, как Cynerio предупредила компанию о проблемах. Как сообщается, компания Aethon ограничила доступ серверов в интернет, чтобы изолировать роботов от потенциальных удаленных атак.
Источник: robogeek.ru