Billigt radioudstyr og online-guide ledte danske sikkerhedsfolk mod gabende hul i insulinpumper

Illustration: Nanna Skytte
Det har længe været kendt i diabetesmiljøet, at pumperne kan kompromitteres. Selv kalder producenten pumperne for et 'legacy-produkt', men pumpen sælges fortsat til diabetikere i Danmark.

Med simpelt radioudstyr og inspiration fra diabetikere, der har hacket insulinpumper i årevis kan man udnytte hvad hackerne fra Lyrebirds kalder en ‘hjemmestrikket protokol’ til at manipulere den såkaldte Omnipod Eros-insulinpumpe.

På den måde kan man tvinge pumpen til en lang række ting, som for eksempel at give mere insulin, der i værste fald kan udsætte de brugeren for livsfare. Disse brugere er der i Danmark omkring 2400 af, viser en undersøgelse foretaget af Version2.

Det kræver dog, at brugeren interagerer med pumpen én gang, mens angriberen er inden for seks meter.

»Hvis brugeren ændrer en indstilling, doserer insulin eller ændrer på, hvor ofte pumpen skal sende insulin, kan man tage kontrollen én gang. Men det er også nok, for så kan vi ændre indstillingerne,« siger Alexander Krog, der udgør halvdelen af det lille it-sikkerhedsfirma Lyrebirds, der har fundet sårbarheden.

Det har længe været kendt, at pumpen, der skal skiftes hver tredje dag, kan manipuleres, når den skal parres med fjernbetjeningen, der holder flere år. Men Lyrebirds har bevist, at man også kan fifle med pumpen, efter parringen er sket.

Ingen kryptering

Det kan kun lade sig gøre, fordi pumpen snakker med fjernbetjeningen på en almindelig, lavfrekvent radiofrekvens over en protokol, leverandøren Insulet selv har udviklet. Omnipod Eros’ nyere arvtager Omnipod DASH bruger for eksempel Bluetooth, der er en smule sværere at fifle med.

Denne pumpe udgør dog kun en lille del af den totale Omnipod-mængde i Danmark, viser Version2’s undersøgelse, der er baseret på indkøbsdata fra de danske regioner.

Læs også: 2.400 danskeres insulinpumper er åbne for hackerangreb

En anden teknisk omstændighed, der virker til hackeres fordel er, at kommunikationen ikke er krypteret.

»Den bedste løsning ville være at få noget kryptering ind, så ville vi ikke kunne lave det angreb her så nemt. Men det kan svært at få strøm, lagerplads og processorkraft til kryptering ned på så lidt plads,« siger Jens Stærmose, der udgør den anden halvdel af Lyrebirds.

Insulet ønsker ikke at besvare Version2’s spørgsmål eller stille op til interview men indrømmer i en kort mail at pumperne - der stadig sælges i Danmark den dag i dag - er uddaterede:

»After extensive testing and research in conjunction with an independent third-party firm, a potential security vulnerability has been discovered in the legacy Omnipod® Insulin Management System,« skriver Insulet i en mail til Version2.

Sender vigtig talstreng som det første

Et andet problem for sikkerheden i insulinpumpen er, at en talrække, fjernbetjeningen sender pumpen for at verificere sig, sendes som det første i kommunikations-strengen.

Læs også: Skal man lukke et sikkerhedshul, der kan hjælpe syge børn?

Siden der ingen kryptering er, og signalet sendes som almindelige radiobølger, er det nemt at opsnappe talrækken og bruge den til at verificere sig selv over for pumpen og få den til at gøre, hvad man ønsker.

»Når vi har modtaget den del af det, har vi, hvad vi skal bruge, så vi jammer den, så den ikke kan høre resten af pakken og så kan nøglen genbruges til at gøre noget forfærdeligt, hvis man vil det,« siger Alexander Krog.

Inspireret af hjemmehackere

I diabetesmiljøet er det velkendt, at pumpen har sikkerhedsproblemer. Det har man i flere år udnyttet til at manipulere med pumpen, så den blandt andet kan snakke sammen med sensorer og dermed automatisere reguleringen af blodsukkeret hos patienterne.

Det var da også en guide fra disse miljøer der offentliggør deres arbejde på github, der oprindeligt gjorde Lyrebirds interesserede i Omnipod’en.

»Det undrede os, at man så åbent diskuterede, hvordan man hacker medicinsk udstyr,« siger Jens Stærmose.

Det undrede også den amerikanske sikkerhedsmyndighed CISA, der på sin hjemmeside skrev helt tilbage i marts 2020, at pumperne har alvorlige sikkerhedsproblemer.

»ATTENTION: Low skill level to exploit/public exploits are known for this vulnerability,« lød det dengang fra CISA; der tvang Insulet til at offentliggøre en advarsel på selskabets hjemmeside. Denne advarsel kan midlertid kun ses, hvis man siger, man er amerikansk statsborger. Kommer man fra Europa, vil man få vist en salgsside for Omnipods i stedet.

Flere løsningsforslag

På deres tekniske blog kommer Lyrebirds med flere forslag til, hvordan man kunne styrke sikkerheden i pumpen, også uden kryptering. Men de kræver alle sammen, at pumperne og fjernbetjeningerne som minimum opdateres.

»Man kunne have skjult det indledende handshake bedre, så det ikke var så nemt at opsnappe og gengive over for pumpen,« siger Jens Stærmose, der baseret på de mange sikkerhedsproblemer vurderer, at pumpen ikke er bygget med it-sikkerhed for øje.

En opdatering kan praktisk talt kun lade sig gøre ved et tilbagekald, og det har Lægemiddelstyrelsen vurderet er unødvendigt.

»Hvis udstyret lever op til lovgivningen, bliver det ikke trukket af markedet. Og vi snakker om en teoretisk risiko,« siger Laura Jakobsen, der ikke ønsker at gå nærmere ind i, hvad Lægemiddelstyrelsen vurderer som en teoretisk risiko.

»Hvornår noget er teoretisk eller ej må du snakke med Insulet om. Vores ansvar er, at der er sikkert medicinsk udstyr på det danske marked, og vi vurderer, pumpen fortsat er sikker,« siger Laura Jakobsen og henviser til Insulet, der ikke ønsker at stille op til interview eller besvare Version2’s spørgsmål.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Står der ikke her :

»Hvornår noget er teoretisk eller ej må du snakke med Insulet om. Vores ansvar er, at der er sikkert medicinsk udstyr på det danske marked, og vi vurderer, pumpen fortsat er sikker,« siger Laura Jakobsen.

At det er Insulet der har vurderet at der er tale om en teoretisk risiko?

Det giver ved også mening, Lægemiddelstyrelsen har vel ikke kompetancerne til at gennemskue de tekniske forhold ved et produkt som andre har opfundet/bygget.

  • 1
  • 0
#4 Rune Philosof

Hvis udstyret lever op til lovgivningen, bliver det ikke trukket af markedet.

Enten er lovgivningen ikke god nok eller også vurderer styrelsen loven forkert. Jeg foreslår at følge op med et interview af en jurist og dernæst en politiker, hvis det ikke er ulovligt.

  • 1
  • 0
Log ind eller Opret konto for at kommentere