• Home
  • Alcune Pompe Insuliniche Medtronic richiamate

Negli USA la Food and Drug Administration (FDA) il 27/06/2019 ha avvertito consumatori e medici che Medtronic sta richiamando alcuni modelli di pompe insuliniche soggette a possibilità di hacking. Tali microinfusori non sono riparabili nè il loro software è aggiornabile per risolvere o mitigare il problema.

La FDA ha sollevato numerose preoccupazioni sulla vulnerabilità di questi dispositivi per anni senza ottenere feedback positivo.

Qual’è il problema reale di queste pompe insuliniche?

Le pompe per insulina (anche dette microinfusori) soggette al richiamo si collegano in modalità wireless ad altre apparecchiature: misuratori di glucosio, sistemi di monitoraggio in continuo (CGM), telecomandi. Controllano il flusso di insulina che viene immesso nel corpo. Tramite sensore e trasmettitore posti sul corpo del paziente, possono controllare il tasso di zuccheri nel sangue (sistema CGM).

Il software delle pompe insuliniche

Da diverso tempo segnalai – a più riprese ed a più entità – che era possibile connettersi ai modelli 522 e 554 senza autorizzazione. Ne parlai a volte con il personale medico, ma anche con la stessa Medtronic via operatori sul territorio o email. Tutt’ora cerco di esporre questo grave problema. I risultati ottenuti? Gli stessi due: risposte simil “meeeeh” o glissare sempre e comunque.

L’esempio più clamoroso è dato dal software in versione java utilizzato per catturare il diario di bordo del microinfusore. Per portarlo su computer (nei database di Medtronic), nella sua versione puramente java violava e tuttora viola, norme di sicurezza importanti. A tal proposito browser quali Chrome, Opera, Safari ed Opera non gli permettono di funzionare.

Da qui l’escamotage da parte di Medtronic di chiedere di connettersi con Explorer. Non ricevendo patch di sicurezza da tempo, questi autorizza comportamenti scorretti via plugin Java.

Nello specifico, una volta inserito il seriale del Micro sul software, questi è in grado di connettersi alla pompa insulinica senza che l’utente abbia modo di accettare o meno la connessione stessa. Liscio.

Stessa cosa avveniva tempo addietro con i telecomandi, gli MMT-500 o MMT-503. Era sufficiente una minima riprogrammazione per fare in modo che questi si connettessero in modo liscio ad una pompa insulinica (ma anche che per errore comandassero il micro di un altro paziente!). La soluzione è stata inviare una lettera ai pazienti chiedendo loro di non usarli.

Conseguenze

Per capirci meglio, un pò come se la casa automobilistica della vostra autovettura vi dicesse “non usate più il telecomando della macchina”, perchè capita a volte che premendo su “apri” di uno si apra per sbaglio quella di un altra persona.

Ma nel caso di cui disquisiamo, la situazione è ben più grave: sapendo scrivere software è davvero semplice entrare dritti su un micro e modificarne le impostazioni, piuttosto che fare erogare (o fermare l’erogazione di ) insulina al micro stesso.

Con conseguenze nefaste, dato che in quest’ultimo caso si rischia di mandare un paziente in coma.

FDA e richiamo delle pompe insuliniche

La FDA è preoccupata dal fatto che, a causa delle vulnerabilità di cybersicurezza identificate nei dispositivi, qualcuno che non sia un paziente o un operatore sanitario possa connettersi in modalità wireless a una pompa di insulina MiniMed. Questo potrebbe consentire ad una persona terza di modificare le impostazioni della pompa e di far erogare o meno insulina.

Questo potrebbe portare il paziente a due situazioni gravissime:

  • qualora venga erogata insulina, ad un basso livello di zucchero nel sangue, ovvero a svenimento o coma nei casi peggiori
  • se fosse invece interrotta la somministrazione di insulina, questo porterebbe il paziente ad avere alti livelli di zucchero nel sangue e di conseguenza alla chetoacidosi diabetica

Medtronic – perchè proprio un richiamo?

Il richiamo avviene perché i modelli incriminati non possono ricevere aggiornamenti software che risolvano.

Questi i modelli interessati:

medtronic-pompe-insuliniche-da-sostituire

Questi modelli invece dovrebbero non essere affetti dal problema:

medtronic-pompe-insuliniche-da-non-sostituire

 

Nel momento in cui scrivo Medtronic non pubblica sul suo sito italiano il provvedimento. Per lo meno, non in modo evidente.  Ecco invece le note presenti sul sito americano, qui e qui.

Il mio consiglio è di verificare spesso il sito americano di Medtronic per avere informazioni che devono essere tempestive e che invece, per motivi burocratici, magari non lo sono nel luogo in cui viviamo.

 

Segui @andymnc (Andrea Manconi) su Twitter per essere sempre aggiornato su guide ed articoli.

Condividi:
Simili
logo wordpress
WordPress 5.6, block-based widget e Facebook oEmbed
wordpress 5.3 kirk
Non installare WordPress 5.3 Kirk ! [aggiornato]
kde plasma 5.17.0
KDE Plasma 5.17.0 finalmente disponibile
wordpress-reindirizzamento-dannoso
WordPress – campagna di reindirizzamento dannosa in atto
Ginger EU Cookie Law e WordPress 5.2.2
prime day amazon 2019
PRIME DAY Amazon 15 e 16 luglio 2019
KDE Neon Plasma 5.16.0 disponibile
KDE Neon Plasma 5.15.0
KDE Neon Plasma 5.15.0 disponibile
kde-plasma-15-5-0
KDE Plasma 5.15.0 disponibile
Wordpress e Malware wp-vcd
WordPress – malware wp-vcd hacking