تمكن من اعتراض الإشارة اللاسلكية الصادرة أو الواردة للجهاز والتحكم في إعداداته
ثغرة تسمح باختراق أجهزة مزروعة تحت الجلد لمساعدة القلب
أفادت هيئة الغذاء والدواء الأميركية «إف دي إيه» بأن الأجهزة الخاصة بمساعدة عضلة القلب، والقابلة للبرمجة والزرع تحت الجلد، وتعمل لاسلكياً لمكافحة مرض الرجفان القلبي، تحتوي على ثغرة أمنية في بروتوكول الاتصال اللاسلكي التي يجعلها على اتصال دائم بأجهزة المراقبة والتحكم داخل المستشفيات وعيادات علاج القلب، موضحة أن هذه الثغرة تسمح لأي مهاجم منخفض القدرات بأن يعترض الإشارة اللاسلكية الصادرة أو الواردة للجهاز، ويقوم باختراقه والتحكم في إعداداته وطريقة عمله.
ونبهت الهيئة مرضى وأطباء القلب والعيادات المتخصصة وأقسام القلب في المستشفيات ومؤسسات الرعاية الصحية إلى ضرورة اتخاذ الحذر والحيطة من تلك الثغرة، ومتابعة التحديثات الأمنية الجاري إعدادها للقضاء عليها.
وجاء في بيان للهيئة منشور على صفحة أمن معلومات الأجهزة الطبية في موقعها الرسمي، أنه تم رصد الثغرة في عدد من الأجهزة والبرمجيات المساعدة لعضلة القلب ومكافحة الرجفان القلبي التي تنتجها شركة «ميد ترونيك» المتخصصة في نظم الرعاية الصحية الرقمية، وهي أجهزة قابلة للزرع تحت الجلد بصدر المريض، للتعامل مع حالات الرجفان القلبي المزمنة، وتعرف باسم حالات «إي سي دي إس» و«سي آر تي - دي إس»، ومهمتها الأساسية هي توفير السرعة لإيقاع القلب البطيء، وعمل الصدمات الكهربائية بسرعة في حالات التوقف عن ضربات القلب الخطرة، وكذلك الحد من التسارع الشديد في النبض.
زرع تحت الجلد
وأوضحت الهيئة أن هذه الأجهزة تتسم بأنها تزرع تحت الجلد، وقابلة للبرمجة والتحكم فيها عن بعد من قبل الأطباء والمتخصصين في تقديم الرعاية الصحية لمرضى القلب المصابين باختلالات في عضلة القلب، حيث تقوم هذه الأجهزة بالتعامل مع الاختلالات أو «حالات الرجفان» حال حدوثها، وتنقل بيانات حية عن عضلة قلب المريض، ومستوى أدائها والمشكلات والاختلالات الجارية بها، عبر الاتصالات اللاسلكية قريبة المجال، التي تتم بين الجهاز وأي شبكة اتصال محيطة به، سواء «واي فاي» أو شبكة اتصالات لاسلكية محمولة أو غيرها، فتظهر الحالة أمام شاشات المراقبة الخاصة بالمرضى، في عيادات القلب أو المستشفيات، وعندها يقوم الأطباء ومقدمو الرعاية الصحية القلبية بالتدخل، وإعطاء أوامر للجهاز للتعامل الفوري مع الحالة.
بروتوكول «كونيكسيس»
وبيّنت هيئة الغذاء والدواء الأميركية أن تلك الأجهزة تستخدم معياراً أو بروتوكولاً خاصاً للاتصالات اللاسلكية، يعرف باسم «كونيكسيس»، حيث صمم هذا البروتوكول ليسمح لأجهزة التحكم عن بعد بالقراءة والكتابة والتعديل على ذاكرة أجهزة «ميد ترونيك» المزروعة تحت الجلد، حيث إن الهدف من ذلك مساعدة الأطباء وموفري الرعاية الصحية على التعامل الفوري عن بعد مع حالة المريض الذي يعاني مشكلات قلبية مفاجئة.
واكتشف الباحثون في الهيئة أن بروتوكول «كونيكسيس» خال من أي شكل من أشكال التأمين والمصادقة للدخول عليه، ما يجعل البيانات المنقولة من خلاله مكشوفة وقابلة للاعتراض والاقتناص، فضلاً عن إمكانية اختراق البروتوكول نفسه، والوصول إلى الجهاز والتحكم في إعداداته وكيفية تشغيله، تماماً مثلما يفعل الأطباء والقائمون على الرعاية الصحية.
خطورة شديدة
وأطلق خبراء نظم المعلومات الصحية الرقمية في الهيئة على هذه الثغرة اسم «سي في إي -2019-6338»، وصنفوها على أنها من الفئة شديدة الخطورة، حيث تصل درجة خطورتها إلى 9.3 من أصل 10 نقاط، لأنه في حال تم استغلالها، فقد تسمح لفرد غير مصرح له بالوصول إلى جهاز قابل للزرع أو جهاز مراقبة منزلي أو ببرنامج لضبط الأجهزة بعيادة لعلاج القلب والتحكم فيه، ما يمثل تهديداً لصحة المريض.
أجهزة وأدوات مصابة
حددت هيئة الغذاء والدواء الأميركية عدداً من الأجهزة المصابة بالثغرة الأمنية الجديدة من إنتاج شركة «ميد ترونيك»، تشمل جميع الطرز من الأجهزة التالية: «Amplia MRI CRT-D» وجهاز «Claria MRI CRT-D»، و«Compia MRI CRT-D»، وجهاز «كونشرتو CRT-D»، «كونشرتو II CRT-D»، و«Consulta CRT-D»، و«Evera MRI ICD»، وجهاز «Evera ICD»، و«Maximo II CRT-D» وجهاز «ICD»، و«Mirro MRI ICD»، وجهاز «Nayamed ND ICD» و«Primo MRI ICD»، وجهاز «Protecta CRT-D»، وجهاز «Secura ICD»، و«Virtuoso ICD»، و«Virtuoso II ICD»، وجهاز «Visia AF MRI ICD»، و«Visia AF ICD»، وجهاز «فيفا CRT-D»، إضافة إلى هذه الأجهزة تم رصد الثغرة في العديد من أدوات البرمجة والتحكم في شاشات المراقبة التي تنتجها الشركة، من بينها أداة البرمجة طراز «كير لينك 2090»، وأداة المراقبة من طرز «ما يكير لينك 24950» و«24950»، و«سي 2490».