2022.02.03. 09:46
A pulzusszám mellett a fizetési adatokat is nyomon követik?
33 sérülékenységet találtak a viselhető eszközök adatátviteli protokolljában.
A Kaspersky szakemberei felfedezték, hogy a betegek távfelügyeletében alkalmazott viselhető eszközök adatátviteléhez legáltalánosabban használt protokoll csak 2021-ben 33 sérülékenységet, ezen belül 18 „kritikus sérülékenységet” tartalmazott. Ez 10-zel több kritikus sérülékenység, mint amennyit 2020-ban találtak, és sok közülük még mindig nem lett kijavítva. A sérülékenységek között vannak olyanok, amelyek lehetőséget teremtenek a támadók számára az eszközről online küldött adatok elfogására.
A még mindig zajló világjárvány az egészségügyi szektor gyors digitalizációját eredményezte. A túlterhelt kórházak és egészségügyi dolgozók, valamint az otthonában karanténban lévő rengeteg ember a beteggondozási módszerek újragondolására késztette a szervezeteket. Sőt, a Kaspersky egy közelmúltban végzett kutatásából az derült ki, hogy már a globális egészségügyi szolgáltatók 91%-a alkalmaz távgyógyászati szolgáltatások nyújtását biztosító eszközöket. Ez
a gyors digitalizáció azonban új biztonsági kockázatokat teremtett, különösen a betegadatok tekintetében.A távgyógyászat körébe tartozik a betegtávfelügyelet, amelyet úgynevezett viselhető eszközökkel és monitorokkal végeznek. Ezek olyan szerkentyűk, amelyek folyamatosan vagy bizonyos időközönként nyomon követik a beteg egészségi állapotának indikátorait, például a szívműködést.
A viselhető eszközök és érzékelők adatainak átviteléhez a legáltalánosabban az MQTT protokollt alkalmazzák annak egyszerűsége és kényelmes használhatósága okán. Ezért aztán nem csak a viselhető eszközökben található meg, hanem szinte bármelyik okoseszközben is. Az MQTT használatakor azonban a hitelesítés sajnos teljességgel opcionális és csak ritkán tartalmaz titkosítást. Emiatt az MQTT erősen fogékony az úgynevezett közbeékelődéses támadásokra (amikor a támadók a „két fél” közé tudják helyezni magukat, miközben ők kommunikálnak egymással), ami azt jelenti, hogy
bármely interneten keresztül továbbított adat potenciálisan ellopható. A viselhető eszközök esetében ezek között az információk között lehetnek rendkívül érzékeny egészségügyi adatok, személyes adatok, de akár még egy személy mozgásai is.
2014 óta már 90 sérülékenységet fedeztek fel az MQTT protokollban, köztük kritikus sebezhetőségeket is, amelyek közül sok a mai napig nem lett kijavítva. 2021-ben 33 volt az újonnan felfedezett sérülékenységek száma, ebből 18 volt kritikus – 10-zel több, mint 2020-ban. Ezek a sérülékenységek mind a betegadatok ellopásának veszélyét rejtik magukban.
A Kaspersky kutatói nem csak az MQTT protokollban találtak sérülékenységeket, hanem a viselhető eszközök egyik legnépszerűbb platformján, a Qualcomm Snapdragon Wearable platformon is. A platform indulása óta több mint 400 sérülékenységre bukkantak, és ezek nem mindegyike lett kijavítva, még néhány 2020-ban talált sebezhetőség sem.
Érdemes megjegyezni, hogy a legtöbb viselhető eszköz nem csak az egészségi állapot adatait, hanem a tartózkodási helyet és a mozgásokat is nyomon követi. Ez pedig az adatlopás mellett az érintettek követésére (esetleg zaklatására) is lehetőséget teremt.
Javasolt az egészségügyi szolgáltatóknak a betegadatok biztonságban tartásához:
• Ellenőrizzék a kórház vagy az egészségügyi szervezet által javasolt alkalmazás vagy eszköz biztonságosságát.
• Ha lehet, csökkentsék minimálisra a távgyógyászati alkalmazásokon keresztül küldött adatok körét (pl. ne engedjék, hogy az eszköz a tartózkodási hely adatait is elküldje, ha nincs rá szükség).
• Változtassák meg az alapértelmezett jelszavakat, és használjanak titkosítást, ha az eszköz felkínálja ezt a lehetőséget.
Borítóképünk illusztráció