Het onderzoek komt van de neurochirgurgie-afdeling van de University of Oxford die samen met Kaspersky Lab keek naar de apparaten die worden gebruikt voor diepe hersenstimulatie. De apparaten met implanteerbare elektroden die elektrische pulsen afgeven aan de hersenen. Deze medische apparaten worden gebruikt voor behandeling van de ziekte van Parkinson en andere essentiële tremor, OCD, zware depressie en meer.

De implantaten hebben beheersoftware die op tablets of smartphones kunnen worden geïnstalleerd en de verbinding wordt gelegd via Bluetooth. De problemen zijn onder meer:

Onversleutelde data-uitwisseling tussen implantaat en software: Hierdoor kan een aanvaller de implantaten aansturen, of zelfs hele groepen patiënten tegelijk manipuleren als ze op dezelfde infrastructuur zitten. Denk aan gewijzigde instellingen, het veroorzaken van pijn, verlamming, of diefstal van data.

Designbeperkingen omdat patiëntveiligheid belangrijker is dan beveiliging: Zo moet een apparaat aangesproken kunnen worden door medisch personeel in een noodgeval, bijvoorbeeld door ambulancepersoneel. Dat betekent dat er geen wachtwoord gebruikt kan worden dat niet iedereen weet en/of dat apparaten uitgerust moeten worden met een backdoor.

Infrastructuur te benaderen: Een ernstige kwetsbaarheid en verschillende zorgwekkende misconfiguraties in een online beheerplatform dat door chirurgen wordt gebruikt geeft een aanvaller toegang tot gevoelige gegevens en behandelprocedures.

Onveilig gedrag medisch personeel: Apparaten met kritieke patiëntensoftware blijkt ook vaak uitgerust met een standaardwachtwoord, worden gebruikt om te browsen of er worden andere apps op geïnstalleerd.

De onderzoekers vrezen dat binnen vijf jaar deze implantaten gebruikt gaan worden voor therapieën die bijvoorbeeld traumatische herinneringen herschrijven. Ook commerciële geheugenversterkende implantaten worden naar verwachting de komende tien jaar geïntroduceerd en een decennium later is het wellicht mogelijk om het geheugen op veel grotere schaal te manipuleren.

Dat betekent dat het vóór die tijd van levensbelang is dat er met dit soort kwetsbaarheden is afgerekend, willen we een nachtmerrie-achtig sciencefictionscenario voorkomen. Dit soort aanvallen is gelukkig nog niet in het wild aangetroffen, maar de wetenschappers benadrukken dat beveiligings- en zorgdeskundigen, ontwikkelaars en fabrikanten nu meteen moeten gaan samenwerken om een veilige toekomst te bouwen.

Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.