Geïmplanteerde medische apparaten die met de buitenwereld communiceren door middel van radiogolven kunnen door kwaadwillenden worden gehackt en ontregeld. Dit concluderen veiligheidsexperts op de Black Hat conventie in Las Vegas.

Hackers kunnen persoonlijke data buit maken, medische apparatuur resetten en de batterijen ervan leeg laten lopen, waardoor de patiënt de batterij eerder dan gepland operatief dient te laten vervangen. Dit maakten Tadayoshi Kohno en Kevin Fu bekend, assistant professoren in computerwetenschap aan respectievelijk de Universiteit van Washington en Massachussets Amherst.

Maatregelen

Er bestaat nu nog geen direct gevaar voor patiënten, maar beide professoren dringen er bij Amerikaanse gezondheidsinstanties op aan dat maatregelen worden genomen om de medische apparatuur hackbestendig te maken.

Eerder hebben hackers websites voor epileptici geïnfecteerd met malware. Na de hackaanval vertoonden de gehackte sites flitsen die voor een epileptische aanval kunnen zorgen. Volgens Fu is het aannemelijk dat zij er ook niet voor terug zullen deinzen om medische apparatuur te hacken.

Defibrillator gehackt

Kohmo en Fu lieten weten dat ze erin zijn geslaagd om een implanteerbare cardioverter-defibrillator (ICD) te hacken met een programmeerbaar radiozendertje en wat creatief programmeerwerk. De ICD die Kohmo en Fu gehackt hebben was een model uit 2003 en waarschijnlijk hebben fabrikanten ondertussen wijzigingen in de apparaten aangebracht.

Desondanks blijven er enkele fundamentele problemen bestaan. Deze liggen onder andere in de authenticatiemethodes en personen die toegang proberen te krijgen tot de apparaatjes. In een noodsituatie waarbij de patiënt niet in zijn eigen woonplaats is zal het voor paramedische techneuten onmogelijk zijn om toegang te krijgen indien zij niet over de juiste toegangscodes beschikken. Dit zou mogelijk een levensbedreigende situatie kunnen opleveren.

Probleem omzeilen

Dit probleem zou volgens de onderzoekers omzeild kunnen worden met behulp van een extern apparaatje waarmee de geïmplanteerde defibrillator in direct draadloos contact staat. Dit apparaatje zou alle communicatie tussen het implantaat en andere apparatuur kunnen reguleren. De patiënt kan bijvoorbeeld door een piepje of een trilsignaal gewaarschuwd worden dat er contact wordt gelegd met de defibrillator van buitenaf om vervolgens zelf te beslissen of er toegang wordt verleend.

Als alternatief zou de patiënt een zogeheten 'cloaker' als armbandje kunnen dragen wat alle communicatie met externe apparatuur blokkeert. De cloaker zou data bevatten om deze blokkering op te heffen.

Naast defibrillators maken ook insulinepompen, cochleaire implantaten, neurostimulatoren, pacemakers en zelfs kunstledematen gebruik van draadloze communicatie.