Οι ειδικοί της Kaspersky ανακάλυψαν ότι το πλέον συνηθισμένο πρωτόκολλο μεταφοράς δεδομένων από wearables που χρησιμοποιούνται για την απομακρυσμένη παρακολούθηση ασθενών περιείχε 33 ευπάθειες, συμπεριλαμβανομένων 18 «κρίσιμων τρωτών σημείων» μόνο μέσα του 2021. Πρόκειται για 10 περισσότερα τρωτά σημεία σε σχέση με το 2020, ενώ πλήθος από αυτά παραμένουν χωρίς επιδιόρθωση. Ορισμένα από αυτά τα τρωτά σημεία παρέχουν στους εισβολείς τη δυνατότητα να υποκλέψουν δεδομένα που αποστέλλονται στο διαδίκτυο από τη συσκευή.
Η πανδημία έχει οδηγήσει σε ταχεία ψηφιοποίηση του τομέα της υγειονομικής περίθαλψης. Καθώς τα νοσοκομεία και το προσωπικό υγειονομικής περίθαλψης έχουν κατακλυστεί και πολλοί άνθρωποι βρίσκονται σε καθεστώς καραντίνας στο σπίτι, οι οργανισμοί αναγκάστηκαν να επανεξετάσουν τον τρόπο με τον οποίο παρέχεται η φροντίδα των ασθενών. Στην πραγματικότητα, πρόσφατη έρευνα της Kaspersky διαπίστωσε ότι το 91% των παγκόσμιων παρόχων υγειονομικής περίθαλψης έχει εφαρμόσει δυνατότητες τηλεϊατρικής. Ωστόσο, αυτή η ταχεία ψηφιοποίηση έχει δημιουργήσει νέους κινδύνους για την ασφάλεια, ειδικά όταν πρόκειται για δεδομένα ασθενών.
Κομμάτι της τηλεϊατρικής αποτελεί και η απομακρυσμένη παρακολούθηση ασθενών, η οποία πραγματοποιείται μέσω της χρήσης των λεγόμενων wearables και οθονών. Αυτά περιλαμβάνουν gadget που μπορούν συνεχώς ή κατά διαστήματα να παρακολουθούν τους δείκτες υγείας ενός ασθενούς, όπως η καρδιακή δραστηριότητα.
Το πρωτόκολλο MQTT αποτελεί το πλέον συνηθισμένο πρωτόκολλο για τη μετάδοση δεδομένων από wearables και αισθητήρες, καθώς είναι εύχρηστο και βολικό. Συνεπώς, ενδέχεται εκτός από τα wearables να βρεθεί και σε σχεδόν οποιοδήποτε έξυπνο gadget. Δυστυχώς, κατά τη χρήση του MQTT, ο έλεγχος ταυτότητας είναι απόλυτα προαιρετικός και σπάνια περιλαμβάνει κρυπτογράφηση. Αυτό καθιστά το MQTT ιδιαίτερα ευάλωτο σε man-in-the-middle επιθέσεις (δηλαδή όταν οι επιτιθέμενοι μπορούν να βρεθούν ανάμεσα σε «δύο μέρη» ενώ αυτά επικοινωνούν), ενισχύοντας το ενδεχόμενο δεδομένα που μεταφέρονται μέσω του διαδικτύου να αποτελέσουν αντικείμενο υποκλοπής. Όταν πρόκειται για wearables, οι συγκεκριμένες πληροφορίες θα μπορούσαν να περιλαμβάνουν εξαιρετικά ευαίσθητα ιατρικά δεδομένα, προσωπικές πληροφορίες, ακόμη και τις κινήσεις ενός ατόμου.
Από το 2014, έχουν ανακαλυφθεί 90 ευπάθειες στο MQTT, συμπεριλαμβανομένων κρίσιμων, πολλές από τις οποίες παραμένουν χωρίς επιδιόρθωση μέχρι σήμερα. Το 2021, υπήρχαν 33 νέες ευπάθειες, συμπεριλαμβανομένων 18 κρίσιμων— δηλαδή 10 περισσότερες συγκριτικά με το 2020. Όλες αυτές οι ευπάθειες θέτουν τους ασθενείς σε κίνδυνο υποκλοπής των δεδομένων τους.
Ο αριθμός των ευπαθειών που εντοπίστηκαν στο πρωτόκολλο MQTT, 2014-2021
Οι ερευνητές της Kaspersky εντόπισαν ευπάθειες όχι μόνο στο πρωτόκολλο MQTT αλλά και σε μία από τις δημοφιλέστερες πλατφόρμες για wearables: την πλατφόρμα Qualcomm Snapdragon Wearable. Περισσότερες από 400 ευπάθειες έχουν εντοπιστεί από τότε που κυκλοφόρησε η εν λόγω πλατφόρμα, οι οποίες δεν έχουν επιδιορθωθεί στο σύνολό τους, συμπεριλαμβανομένων ορισμένων που έχουν εντοπιστεί από το 2020.
Αξίζει να σημειωθεί ότι η πλειονότητα των wearables παρακολουθεί τόσο τα δεδομένα υγείας όσο και την τοποθεσία και τις κινήσεις σας. Αυτό, πέρα από το περιθώριο υποκλοπής δεδομένων, δημιουργεί και τη δυνατότητα stalking.
«Η πανδημία οδήγησε σε ραγδαία ανάπτυξη στην αγορά της τηλευγείας και αυτό δεν περιορίζεται μόνο στη δυνατότητα επικοινωνίας με τον γιατρό σας μέσω λογισμικού βίντεο. Μιλάμε για μια ολόκληρη σειρά σύνθετων, ταχέως εξελισσόμενων τεχνολογιών και προϊόντων, συμπεριλαμβανομένων εξειδικευμένων εφαρμογών, wearables, εμφυτεύσιμων αισθητήρων και βάσεων δεδομένων που βασίζονται στο cloud. Ωστόσο, πολλά νοσοκομεία εξακολουθούν να χρησιμοποιούν μη ελεγμένες υπηρεσίες τρίτων για την αποθήκευση δεδομένων ασθενών, ενώ οι ευπάθειες σε wearables και αισθητήρες υγειονομικής περίθαλψης παραμένουν ένα άλυτο πρόβλημα. Προτού θέσετε σε λειτουργία τέτοιες συσκευές, μάθετε όσα περισσότερα μπορείτε για το επίπεδο ασφάλειάς τους προκειμένου να διατηρήσετε ασφαλή τα δεδομένα της εταιρείας και των ασθενών σας», σχολιάζει η Maria Namestnikova, Επικεφαλής της Ρωσικής Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης (GReAT) της Kaspersky.
Διαβάστε ολόκληρη την αναφορά γύρω από την τηλευγεία στη Securelist.
Προκειμένου να μάθετε περισσότερα σχετικά με την παγκόσμια υιοθέτηση των υπηρεσιών τηλευγείας, μπορείτε να διαβάστε την παγκόσμια έρευνα της Kaspersky.
Για να διατηρούνται τα δεδομένα ασθενών ασφαλή, η Kaspersky συνιστά στους παρόχους υγειονομικής περίθαλψης:
- Να ελέγχουν την ασφάλεια της εφαρμογής ή της συσκευής που προτείνεται από το νοσοκομείο ή τον ιατρικό οργανισμό.
- Να ελαχιστοποιήσουν τα δεδομένα που μεταφέρονται από τις εφαρμογές τηλεϊατρικής, εφόσον είναι δυνατόν (λ.χ. να μην επιτρέπουν στη συσκευή να κοινοποιεί τα δεδομένα τοποθεσίας εάν δεν είναι απαραίτητο).
- Να αλλάξουν τους κωδικούς πρόσβασης από τους προεπιλεγμένους και να χρησιμοποιούν κρυπτογράφηση εφόσον παρέχεται ως δυνατότητα από τη συσκευή.