Beveiligingsgaten ontdekt in ‘slimme’ insulinepomp
Het Amerikaanse Johnson & Johnson waarschuwt klanten voor beveiligingslekken in de Animas OneTouch Ping-insulinepomp, die sinds 2008 op de markt is. Door de lekken is het mogelijk de insulinepomp te manipuleren en een overdosis insuline af te laten geven, wat dodelijke gevolgen kan hebben.
Johnson & Johnson waarschuwt voor het probleem in een brief (pdf). De beveiligingsgaten zijn ontdekt door een onderzoeker van beveiligingsbedrijf Rapid7 . Het probleem zit in de Animas OneTouch Ping-insulinepomp, die door de gebruiker kan worden aangestuurd met behulp van een draadloze afstandsbediening. Bij het versturen van signalen tussen de afstandsbediening en de insulinepomp gaat het echter fout. Zo blijkt het mogelijk het signaal dat naar de pomp wordt gestuurd na te bootsen, waardoor aanvallers de insulinepomp kunnen aansturen.
Drie beveiligingsgaten
In totaal zijn drie beveiligingsgaten aangetroffen in de insulinepomp, die zijn geïdentificeerd als CVE-2016-5084, CVE-2016-5085 en CVE-2016-5086. Het eerste datalek heeft betrekking op het dataverkeer tussen de afstandsbediening en de insulinepomp. Deze blijkt onversleuteld te worden verstuurd via radiosignalen. Dit maakt het mogelijk het dataverkeer te onderscheppen.
Het tweede lek heeft betrekking op het koppelen van de afstandsbediening aan de insulinepomp. Hierbij wordt een sleutel aangemaakt die moet zorgen dat de insulinepomp alleen opdrachten kan ontvangen van de afstandsbediening van de gebruiker. Deze sleutel wordt echter eveneens onversleuteld verstuurd. Ook deze sleutel kan hierdoor worden onderschept, wat het in theorie mogelijk maakt andere afstandsbedieningen aan de pomp te koppelen.
Legitieme opdrachten meerdere keren versturen
Het derde beveiligingsgat maakt het mogelijk opdrachten die de gebruiker via de legitieme afstandsbediening naar de insulinepomp sturen te onderscheppen en opnieuw te versturen. Hierdoor kunnen aanvallers legitieme opdrachten meerdere keren laten uitvoeren, wat gevaarlijke gevolgen kan hebben. Zo zou een aanvaller in theorie meerdere keren opdracht kunnen geven om insuline af te geven, waardoor de gebruiker een overdosis krijgt.
In de brief noemt Johnson & Johnson het risico dat de beveiligingsgaten met zich meebrengen ‘laag’. Aanvallers zouden over veel technische kennis en geavanceerde uitrusting moeten beschikken om de insulinepomp te kunnen aanvallen. Het bedrijf adviseert gebruikers van de Animas OneTouch Ping-insulinepomp de radiofunctie uit te schakelen. Daarnaast kunnen zij een limiet instellen voor de maximale dosering van insuline.
Meer over
Lees ook
Commvault introduceert Commvault Cloud Unity Platform
Commvault heeft een van de meest ingrijpende platformreleases aangekondigd: de Cloud Unity Platform-release. Deze AI-ondersteunde versie van Commvault Cloud integreert databeveiliging, cyberherstel en identity resilience over SaaS-, on-premises-, hybride- en cloudomgevingen.
FireMon brengt integraal beheer van beveiligingsregels naar AI-intensieve datacenters met ondersteuning voor NVIDIA Cumulus
FireMon aanbieder van oplossingen voor netwerkbeveiliging en het beheer van firewall-regels, heeft ondersteuning voor NVIDIA Cumulus aan FireMon Policy Manager toegevoegd. Organisaties met datacenters waarin Cumulux Linux-switches worden gebruikt kunnen daarmee profiteren van 360ﹾ overzicht
Compumatica en NTT DATA bundelen krachten voor digitale weerbaarheid in vitale sectoren
Cybersecurity cryptospecialist Compumatica en IT-dienstverlener NTT DATA, wereldwijd marktleider op het gebied van digitale bedrijfsvoering en IT-diensten, hebben hun samenwerking formeel bekrachtigd met een Value Added Reseller-overeenkomst. Daarmee is NTT DATA benoemd tot Gold Partner van Compumatica.