Hackers leggen beveiligingsprobleem insulinepomp bloot

Hackers hebben een ernstig probleem met de draadloze besturing van insulinepompen blootgelegd. Tot een afstand van honderd meter kan de pomp in theorie zo worden ontregeld, dat het apparaat de patiënt een fatale dosis toedient.

De kwetsbare pompen zijn van de firma Medtronic. Een hacker ontdekte het lek al in augustus, maar werknemers van McAfee hebben onlangs een exploit geschreven. Met behulp van eigen software namen zij de pompbesturing over. Kwaadwillenden zouden op dezelfde manier suikerpatiënten een dodelijke overdosis kunnen geven.

Jack Barnaby van McAfee demonstreerde de kwetsbaarheid tijdens de Hacker Halted-conferentie in de Verenigde Staten. De Medtronic-pompen maken gebruik van kleine radiozenders, die data onversleuteld verzenden en ontvangen over de 900Mhz-frequentie. Daarmee kan het suikergehalte voor de patiënt worden aangegeven. Volgens Barnaby kan de draadloze pomp worden gekraakt met zelfgeschreven software en een antenne die het apparaat kan lokaliseren. Het is niet nodig om het serienummer te kennen, stelt Barnaby tegenover Reuters. Hoe zijn hack exact werkt, is niet duidelijk.

Via een draagbaar apparaat kan de patiënt zijn bloed meten, waarna de bloedwaarden draadloos naar een insulinepomp worden verzonden. Die meet vervolgens de hoeveelheid insuline die een suikerpatiënt nodig heeft. De precieze hoeveelheid wordt via een naaldje in de huid gespoten.

McAfee en Medtronic willen niet aangeven welke pompen het betreft, maar het zou om modelnummers 712 en hoger gaan. Volgens Reuters gebruiken wereldwijd tweehonderdduizend patiënten het apparaat. Medtronic heeft twee pompen op de markt, maar ondersteunt ook nog zes oudere modellen. Hoewel er geen gevallen van aanvallen op insulinepompen bekend zijn, gaat Medtronic het lek naar eigen zeggen snel dichten. Barnaby: "We hebben het over programmacode die tien jaar geleden werd ontworpen. Er was toen niet echt nagedacht over de beveiliging van deze systemen."