Crédito: Shutterstock

​Dispositivos cardíacos já são terreno fértil para hackers

Uma empresa americana acaba de corrigir falhas que permitiam invasores alterar o funcionamento de marca-passos e desfibriladores.

|
16 Janeiro 2017, 4:11pm

Crédito: Shutterstock

Hackers podem muito bem brincar com seu coração. Tipo, literalmente. Marca-passos, desfibriladores e demais aparelhos fabricados pela St. Jude Medical, empresa de dispositivos médicos com sede em Minnesota, nos EUA, podem ter colocado as vidas de seus pacientes em risco de acordo com alerta do Food and Drug Administration, o órgão regulador de alimentos e medicamentos no país, emitido na semana passada.

O anúncio foi feito no mesmo dia em que um patch foi lançado para corrigir as vulnerabilidades. Segundo a FDA, há várias brechas de segurança que poderiam dar a hackers acesso remoto ao dispositivo cardíaco de uma pessoa. Os invasores conseguiriam alterar batimentos cardíacos, administrar descargas elétricas e esgotar baterias, entre outras funções.

Os implantáveis da St. Jude Medical são colocados abaixo da pele, na região superior do tórax, com fios isolados que vão ao coração de forma a ajudá-lo a bater corretamente, caso esteja muito lento ou muito rápido. Estes aparelhos funcionam em conjunto com o Merlin@home Transmitter, transmissor localizado na casa do paciente que envia dados ao seu médico por meio da rede de cuidados ao paciente Merlin.net.

Hackers podem ter se aproveitado do transmissor, de acordo com informações da fabricante. "Ele pode (...) ser usado para modificar comandos de programação para o aparelho implantado", consta no alerta da FDA.

Em email enviado ao Motherboard, um representante da St. Jude Medical afirmou que a empresa "tomou diversas medidas de forma a proteger a segurança de nossos aparelhos", incluindo aí o novo patch e a criação de um "conselho de segurança médica cibernética". A empresa planeja implementar novas atualizações em 2017, de acordo com este mesmo email.

O alerta chega poucos dias após a aquisição da St. Jude Medical pela Abbott Laboratories e quatro meses após um grupo de especialistas de uma empresa de segurança cibernética com sede em Miami chamada MedSec Holding ter publicado um artigo explicando diversas das vulnerabilidades encontradas nos marca-passos e desfibriladores da fabricante. O anúncio foi feito em agosto de 2016, junto da empresa de investimentos Muddy Waters Capital.

"Os transmissores Merlin@home não tem o básico de segurança", afirma o artigo. Os especialistas ainda escrevem que "vulnerabilidades essenciais podem ser exploradas por hacker de baixo nível". "Inacreditavelmente, a SJT entregou o ouro por meio destas unidades de monitoramento domésticas que, em nossa opinião, escancaram o ecossistema da STJ para ataques. Estes aparelhos estão disponíveis no eBay, geralmente com preços abaixo de 35 dólares", escrevem.

Na época, a St. Jude Medical negou as afirmações e processou tanto a Muddy Waters quanto a MedSec. "Tais alegações são absolutamente falsas", afirmou o CTO Phil Ebeling à Bloomberg. "Há várias camadas de segurança em atuação. Fazemos avaliações de segurança regularmente e trabalhamos junto a especialistas externos especificamente no caso do Merlin@home e todos nossos dispositivos." A St. Jude se negou a comentar o processo em andamento.

Ainda assim, a Muddy Waters não está feliz com a atualização recente. Eles afirmam que a St. Jude Medical tem mais interesse em lucro do que na saúde dos pacientes. "Os reparos anunciados aparentam não dar cabo dos principais problemas, incluindo a existência de um código universal que permitiria a hacker controlar os implantes", afirma uma nota à imprensa. "Caso não tivéssemos vindo a público, a St. Jude não teria consertado estas brechas."

O patch recém-lançado foi disponibilizado e será baixado automaticamente pelo transmissor. "Pacientes devem se certificar de que sua unidade Merlin@home está ligada e conectada para que recebam quaisquer atualizações futuras", disse a fabricante em nota à imprensa.

Não é a primeira vez que médicos e especialistas em segurança demonstram preocupação com aparelhos como este. O ex-presidente americano Dick Cheney desabilitou a função sem-fio de seu implante cardíaco há alguns anos, temendo uma tentativa de assassinato.

Tradução: Thiago "Índio" Silva