हैकर्स ने एक ऐप बनाया जो एक पॉइंट को प्रूव करने के लिए मारता है


2 साल पहले, शोधकर्ताओं बिली रियोस और जोनाथन बट्स ने मेडट्रॉनिक के लोकप्रिय मिनीमेड और मिनीमेड पैराडिगम इंसुलिन पंप लाइनों में परेशानियों की खोज की। एक हमलावर इन पंपों को मरीजों से इंसुलिन वापस लेने या संभावित रूप से घातक ओवरडोज को ट्रिगर करने के लिए दूर से निशाना लगा सकता है। और फिर भी फिक्स को लागू करने के लिए मेडट्रॉनिक और नियामकों के साथ बातचीत बेकार साबित हुई। इसलिए शोधकर्ताओं ने कठोर उपायों का सहारा लिया। उन्होंने एक एंड्रॉइड ऐप बनाया जो लोगों को मारने के लिए खामियों का उपयोग कर सकता है।

सुरक्षा फर्म QED सिक्योरिटी सॉल्यूशंस में काम करने वाले Rios और बट्स ने पहली बार अगस्त 2018 में लास वेगास में ब्लैक हैट कॉन्फ्रेंस कॉन्फ्रेंस में व्यापक रूप से प्रचारित बातचीत के साथ इस मुद्दे के बारे में जागरूकता बढ़ाई थी। उस प्रस्तुति के साथ, खाद्य और औषधि प्रशासन और होमलैंड सिक्योरिटी विभाग ने प्रभावित ग्राहकों को मेदट्रोनिक के रूप में स्वयं के बारे में चेतावनी दी थी। लेकिन किसी ने उपकरणों को ठीक करने या बदलने की योजना प्रस्तुत नहीं की। एक पूर्ण प्रतिस्थापन कार्यक्रम को प्रोत्साहित करने के लिए, जो अंततः जून के अंत में लागू हुआ, रियोस और बट्स खतरे की वास्तविक सीमा को व्यक्त करना चाहते थे।

"हम अनिवार्य रूप से दुनिया के इन इंसुलिन पंपों में से हर एक के लिए एक सार्वभौमिक रिमोट बना चुके हैं," रियोस कहते हैं। "मुझे नहीं पता कि मेडट्रॉनिक शोधकर्ताओं के लिए एक ऐप बनाने के लिए इंतजार क्यों कर रहा है जो किसी को चोट पहुंचा सकता है या मार सकता है इससे पहले कि वे वास्तव में इसे गंभीरता से लेना शुरू करें। जब हमने अपनी ब्लैक हैट से बात की और तीन हफ्ते पहले कुछ भी नहीं बदला है।"

किलर ऐप

डायबिटीज के मरीज आमतौर पर अपने इंसुलिन का सेवन खुद ही करते हैं। मिनीमेड पंपों और कई अन्य के मामले में – वे इंसुलिन खुराक को नियंत्रित करने के लिए डिवाइस पर बटन का उपयोग करते हैं, जिसे बोल्ट के रूप में जाना जाता है। MiniMed पंप भी रिमोट कंट्रोल के साथ आते हैं, जो मूल रूप से कार की चाबी के फोब्स की तरह दिखते हैं, और छोटी दूरी के बजाय पंप को नियंत्रित करने के लिए देखभाल करने वालों या चिकित्सा पेशेवरों के लिए एक तरीका प्रदान करते हैं।

लेकिन जैसा कि Rios और बट्स ने खोजा है, रेडियो आवृत्तियों को निर्धारित करना अपेक्षाकृत आसान है जिस पर रिमोट और पंप एक दूसरे से बात करते हैं। इससे भी बदतर, उन संचारों को एन्क्रिप्ट नहीं किया गया है। शोधकर्ता, जिनमें जेसी यंग और कार्ल शूएट भी शामिल हैं, का कहना है कि उन्होंने रिवर्स एन्कोडिंग को आसान बनाना आसान सांचा और वैधता जांच संकेत की रक्षा करने के लिए माना, जिससे हमलावर को फोब के कमांड को पकड़ने में सक्षम बनाया गया। एक हैकर तब आसानी से उपलब्ध, ओपन सोर्स सॉफ्टवेयर का उपयोग रेडियो को प्रोग्राम करने के लिए कर सकता है जो एक वैध मिनीमेड रिमोट के रूप में मास्क करता है, और यह आदेश भेजता है कि पंप भरोसा करेंगे और निष्पादित करेंगे। उस प्रारंभिक संपर्क को स्थापित करने के बाद, हैकर्स तब हमलों को लॉन्च करने के लिए एक साधारण स्मार्टफोन ऐप के माध्यम से उस रेडियो को नियंत्रित कर सकते हैं – उन ऐप्स के समान जो आपके टेलीविजन रिमोट के लिए भर सकते हैं।

QED सुरक्षा समाधान

एक विशिष्ट इंसुलिन पंप को लक्षित करने के लिए, एक हमलावर को अपने सीरियल नंबर को सही जगह पर सीधे आदेशों को जानने की आवश्यकता होगी, जैसे उन्हें कॉल करने के लिए किसी के फोन नंबर की आवश्यकता होती है। लेकिन शोधकर्ताओं ने अपने दुर्भावनापूर्ण रिमोट से कार्यक्षमता को जोड़ा जो स्वचालित रूप से हर संभव डिवाइस सीरियल नंबर के माध्यम से बार-बार चलता है, अनिवार्य रूप से एक क्षेत्र में किसी भी कमजोर मिनीमेड पंप को मजबूर करता है। हमला एक रिमोट की सामान्य सीमा तक सीमित है; इसे मीलों दूर से नहीं चलाया जा सकता। लेकिन शोधकर्ताओं ने ध्यान दिया कि सिग्नल-बूस्टिंग उपकरण के साथ आप एक बड़े त्रिज्या को कवर कर सकते हैं, शायद कुछ फीट के बजाय कुछ गज।

QED सुरक्षा समाधान

"कोई सुरक्षा नहीं है," क्यूईडी सिक्योर सॉल्यूशंस 'शूएट कहते हैं। "यदि आप सिग्नल को रिवर्स करते हैं, तो आप पंप को प्राप्त करने के लिए अपने स्वयं के सिग्नल को पर्याप्त रूप से साफ कर सकते हैं – आपने अब खुद को इंसुलिन पंप के लिए एक महत्वपूर्ण फ़ॉब में बदल दिया है।" एक हमलावर तब केवल ऐप में बटन दबा सकता है ताकि बार-बार एक मरीज को इंसुलिन की खुराक दे सके, या एक मरीज को खुद को इंसुलिन देने के प्रयासों को ओवरराइड कर सके।

QED सुरक्षा समाधान

डिफ़ॉल्ट रूप से, प्रभावित MiniMed मॉडल हर बार बीप करते हैं जब वे इंसुलिन निकालते हैं, जो एक मरीज को पंप गतिविधि को रगड़ने के लिए सचेत कर सकता है। लेकिन इस प्रकार का हमला अपेक्षाकृत जल्दी हो सकता है, इससे पहले कि कोई मरीज पूरी तरह से समझ जाए कि क्या हो रहा है। और कुछ रोगी वैसे भी बीप को निष्क्रिय करना पसंद करते हैं।

मेडट्रॉनिक के पास इसके पेसमेकरों के कुछ मॉडलों सहित अन्य प्रत्यारोपित चिकित्सा उपकरणों पर रीमोट और बाहरी प्रोग्रामर के साथ समान साइबर सुरक्षा के मुद्दे हैं। यह हमला उन लोगों से मिलता-जुलता है, जो कार के मुख्य फोब्स के खिलाफ बने थे – लेकिन दांव स्पष्ट रूप से बहुत अधिक हैं।

विघटन के लिए पसंद किया गया

मेडट्रॉनिक और रेगुलेटर दोनों स्वीकार करते हैं कि प्रभावित इंसुलिन पंप मॉडल पर खामियों को दूर करने, या दूरस्थ सुविधा को पूरी तरह से अक्षम करने का कोई तरीका नहीं है। सबसे पहले, समूहों ने सलाह दी कि यदि वे अधिक सुरक्षा चाहते हैं तो मरीज रिमोट एक्सेस को मैन्युअल रूप से बंद कर देते हैं। लेकिन इसका मतलब होगा कि सहायक, यहां तक ​​कि संभावित रूप से जीवन-यापन, देखभाल करने वालों की क्षमता को रिमोट से दूर करने की क्षमता। इसके अलावा, प्रत्येक रोगी सुरक्षा मुद्दों के बारे में नहीं सुनता है या वैसे भी सुविधा को बंद करना याद रखेगा।

Rios का कहना है कि अनुसंधान समूह ने इस वर्ष के मध्य जून में एफडीए अधिकारियों को अवधारणा ऐप के अपने सबूत का प्रदर्शन किया; मेडट्रोनिक ने एक सप्ताह बाद अपने स्वैच्छिक याद कार्यक्रम की घोषणा की। एफडीए के रणनीतिक साझेदारी और प्रौद्योगिकी नवाचार के कार्यालय के उप निदेशक और अभिनय कार्यालय के निदेशक सुजैन श्वार्ट्ज ने बताया कि अंततः रिकॉड और कई शोधकर्ताओं द्वारा किए गए निष्कर्षों पर विचार करके मेड्ट्रोनिक और एफडीए द्वारा व्यापक जोखिम मूल्यांकन और विश्लेषण का परिणाम था। चूतड़, और बड़े पैमाने पर प्रतिस्थापन कार्रवाई शुरू करने के सार्वजनिक स्वास्थ्य जोखिमों को तौलना बनाम मैदान में उपकरणों को छोड़ने का जोखिम। मेडट्रॉनिक आसानी से यह बताता है कि उसने अपने मिनीमेड पंपों में इन कमजोरियों के बारे में वर्षों से जाना है, यहां तक ​​कि Rios और बट्स के निष्कर्षों से भी पहले।

मेडट्रॉनिक ने एक बयान में कहा, "मेडट्रॉनिक को 2011 के अंत में पहली बार संभावित चिंताओं से अवगत कराया गया था, और हमने उस समय अपने पंपों में सुरक्षा उन्नयन को लागू करना शुरू किया था। तब से हमने नए पंप मॉडल जारी किए हैं, जो पूरी तरह से अलग-अलग तरीकों से संवाद करते हैं।" वायर्ड। "हमारे अधिकांश वर्तमान ग्राहक आधार पहले से ही इंसुलिन पंपों का उपयोग कर रहे हैं जो इस साइबर सुरक्षा चिंता से प्रभावित नहीं हैं। इन पुराने पंपों पर छोटी संख्या की, यह भविष्यवाणी करना मुश्किल है कि कितने लोग नए के लिए विनिमय करना चाहते हैं।" मेडट्रॉनिक ने कहा है कि वर्तमान में संयुक्त राज्य अमेरिका में लगभग 4,000 असुरक्षित पंपों का उपयोग किया जा रहा है।

एफडीए के श्वार्ट्ज कहते हैं, हालांकि, जबकि मिनीमेड पंप के प्रासंगिक मॉडल अब अमेरिका में व्यापक रूप से उपयोग नहीं किए जाते हैं, उनके पास "दुनिया भर में बहुत अधिक उपयोग है।" जिस कारण से स्वैच्छिक याद की घोषणा करने में समय लगा, वह कहती हैं, एक अंतरराष्ट्रीय स्तर पर स्वैच्छिक याद को समन्वित करने के लिए दुनिया भर की नियामक एजेंसियों के साथ समन्वय की कठिनाई थी। मेडट्रॉनिक ने WIRED को दिए अपने बयान में कहा कि, "कुछ देशों में, मेडट्रॉनिक के पास नए मॉडल के लिए इन पुराने पंपों में से एक का आदान-प्रदान करने के लिए कार्यक्रम होंगे।"

मेडट्रॉनिक एक कमजोर मॉडल वाले रोगियों को पंप प्रतिस्थापन की पेशकश करने की अपनी पहल पर चर्चा करने में "रिकॉल" शब्द के उपयोग को भी विवादित करता है। "यह केवल एक सुरक्षा अधिसूचना थी," कंपनी का कहना है। "इस अधिसूचना के कारण प्रभावित पंपों को वापस करने की आवश्यकता नहीं है।" यह पूछे जाने पर कि क्या कार्रवाई को "स्वैच्छिक रिकॉल" के रूप में वर्णित करना सटीक था, श्वार्ट्ज ने कहा कि यह शब्द सही था, और यह कि एफडीए वर्तमान में मिनीमेड रिकॉल को वर्गीकृत करने की प्रक्रिया में है, और आने वाले समय में अपनी वेबसाइट पर वर्गीकरण पोस्ट करेगा। महीने।

पाश में

संवेदनशील पंपों का एक पूर्ण प्रतिबंध अव्यवहारिक और यहां तक ​​कि प्रतिशोधात्मक भी होगा, श्वार्ट्ज कहते हैं, क्योंकि मधुमेह के रोगियों के एक समूह को उनके विशिष्ट महत्व के कारण "लूपर्स" कहा जाता है। पुराने MiniMed पंप मॉडल अपने कमजोर, हैक करने योग्य प्रकृति के लिए सटीक रूप से प्रतिष्ठित हैं। लूपर्स पुराने MiniMed पंप में खामियों का उपयोग करते हैं ताकि उनकी त्वचा के नीचे लगाए गए निरंतर ग्लूकोज मॉनिटर के साथ उपकरणों को जोड़ा जा सके। जब दो डिवाइस एक-दूसरे से बात कर सकते हैं (प्रतिक्रिया को पूरा कर सकते हैं पाश) उन्हें स्वचालित रूप से गणना करने के लिए प्रोग्राम किया जा सकता है कि किसी व्यक्ति को इंसुलिन की कितनी ज़रूरत है और खुराक को स्वचालित रूप से वितरित करें – अनिवार्य रूप से एक कृत्रिम अग्न्याशय का निर्माण करना जो डिजिटल रूप से अंग को आम तौर पर जैविक रूप से करता है।

"हमने अनिवार्य रूप से दुनिया के इन इंसुलिन पंपों में से हर एक के लिए एक सार्वभौमिक रिमोट बनाया है।"

बिली रियोस, क्यूईडी सुरक्षा समाधान

इस बायोहेक को आधिकारिक तौर पर एफडीए द्वारा अनुमोदित नहीं किया गया है, लेकिन एजेंसी मेडट्रॉनिक जैसे निर्माताओं के साथ औपचारिक रूप से अनुमोदित "बंद-लूप" सिस्टम को बाजार में लाने के लिए काम कर रही है। श्वार्ट्ज का कहना है कि एफडीए यह सुनिश्चित करने के लिए संज्ञान में था कि किसी भी रिकॉल ने किसी ऐसे उपकरण को प्रतिबंधित या प्रतिबंधित नहीं किया है, जिस पर कई मरीज विशेष रूप से भरोसा करते हैं, यहां तक ​​कि जोखिम भी जानते हैं।

शोधकर्ताओं का कहना है कि उन्हें राहत मिली है कि आखिरकार, इन उपकरणों में खामियों के बारे में मेडट्रॉनिक को पहली बार पता चला कि सालों बाद भी एक ऐसा ढांचा है जो मरीजों को अगर वे चाहें तो उपकरणों का उपयोग करने की अनुमति देता है और अगर वे नहीं करते हैं तो उन्हें मुफ्त में बदल देते हैं। लेकिन चिकित्सा उपकरण भेद्यता प्रकटीकरण के लिए जलवायु अभी भी स्पष्ट रूप से भयावह है अगर शोधकर्ताओं को लगता है कि उन्हें चरम लेने की आवश्यकता है, और यहां तक ​​कि संभावित रूप से खतरनाक है, तो कार्रवाई करने के लिए एक हत्यारा ऐप विकसित करने जैसे कदम।

"यदि आप इसके बारे में सोचते हैं, तो हमें रोगियों को नहीं बताना चाहिए, 'अरे, आप जानते हैं कि यदि आप चाहें तो इस सुविधा को चालू कर सकते हैं और एक यादृच्छिक व्यक्ति द्वारा मारा जा सकता है।' इसका कोई मतलब नहीं है, "QED सिक्योरिटी सॉल्यूशंस 'Rios का कहना है। "कुछ जोखिम स्वीकृति होनी चाहिए; यह एक चिकित्सा उपकरण है। लेकिन एक असुरक्षित विशेषता जैसी कि बस जाने की जरूरत है, और उनके पास इसे हटाने के लिए कोई तंत्र नहीं था।"

वर्षों से कई विवादास्पद खुलासे के बावजूद, एफडीए के श्वार्ट्ज का कहना है कि संचार में सुधार हो रहा है, और यह कि एजेंसी ने आवश्यक होने पर मध्यस्थ के रूप में खुद को स्थान देने के लिए काम किया है।

"हम सोचते हैं कि बिली और जोनाथन जैसे सुरक्षा शोधकर्ताओं के साथ हमारे संबंध हैं और टीम वास्तव में महत्वपूर्ण है, और हमने उन्हें आगे आने और कमजोरियों के संबंध में जानकारी लाने के लिए प्रोत्साहित किया है," श्वार्ट्ज कहते हैं। "आदर्श रूप से एक शोधकर्ता टीम निर्माताओं के साथ अच्छी तरह से और सहयोग से काम करेगी ताकि इन मुद्दों को सबसे अधिक तेजी से हल किया जा सके, लेकिन निश्चित रूप से ऐसे मामले में जहां मूल्यांकन को देखने में कठिनाई हो सकती है, समयबद्ध तरीके से हम शोधकर्ताओं को यह बताने के बारे में बहुत स्पष्ट हैं कि वे हमारे पास आने की जरूरत है। ”

यहां तक ​​कि अगर इसका मतलब है कि एक स्मार्टफोन ऐप है जो एजेंसी के डेस्क पर गिराए गए व्यक्ति को मार सकता है।

16 जुलाई, 2019 11:00 बजे ईटी को सही ढंग से दर्शाने के लिए कि मेडट्रॉनिक ने अगस्त 2018 में आरआईओएस और बट्स के प्रारंभिक सार्वजनिक प्रकटीकरण को स्वीकार किया।


अधिक महान WIRED कहानियां