نقص امنیتی در بلوتوث کم مصرف تهدید جدی برای تجهیزات پزشکی

آسیب‌پذیری امنیتی در پروتکل بلوتوث کم مصرف صدها دستگاه هوشمند از جمله دستگاه‌های ضربان‌ساز (pacemaker) را مورد تهدید قرار می‌دهد. بلوتوث در همه چیز از بلندگوها گرفته تا ضربان‌ساز ایمپلنت کاشته شده استفاده می‌شود به همین علت آسیب‌پذیری‌های مربوط به بلوتوث کم‌مصرف می‌تواند بر روی این تجهیزات تأثیر بگذارد. مشکل امنیتی بلوتوث کم‌مصرف به طور بالقوه بیش از 480 دستگاه از جمله ردیاب‌های تناسب‌اندام، قفل‌های هوشمند و ده‌ها ابزار پزشکی و کاشت را در معرض خطر قرار می‌دهد.

محققان دانشگاه فناوری و طراحی سنگاپور از ژانویه سال 2019 شروع به توسعه تکنیکهایی برای تجزیه و تحلیل امنیت Wi-Fi کردند و بعدها متوجه شدند که می‌توانند همان روش‌های مشابه را برای ارزیابی بلوتوث به کار گیرند. در ماه سپتامبر آنها اولین نقص امنیتی را در برخی از بلوتوث‌های کم‌مصرف (BLE ها)، نسخه‌های طراحی شده برای دستگاه‌هایی با منابع و قدرت محدود پیدا کردند که طی چند هفته این نقص‌ها به 11 مورد دیگر افزایش پیدا کردد.

این نقص‌ها در خود BLE وجود ندارد اما در کیت‌های توسعه نرم‌افزار BLE که دارای هفت سیستم بر روی تراشه هستند و میکروچیپ‌هایی که تمام اجزای رایانه را در یک مکان ادغام می‌کنند دیده می‌شوند.

این اشکالات از طریق اینترنت قابل سوءاستفاده نیست اما یک هکر در محدوده رادیویی می‌تواند حملات هدفمند را برای از کار انداختن کامل دستگاه انجام دهد و اتصال BLE خود را تا زمان شروع مجدد غیرفعال کند یا در بعضی موارد حتی حالت جفت شدن BLE را دور بزند تا آنها را تصاحب کند.

هرچه این آسیب‌پذیری در وسایل خانه هوشمند یا تجهیزات دفتری و اداری مشکل ساز باشد از نظر پزشکی این میزان مخاطرات به وضوح بیشتر است. محققان هیچ مدرکی مبنی بر حملات مفهومی علیه هر یک از دستگاههای پزشکی آسیب پذیر ارائه ندادند اما SoC های مربوطه حاوی اشکالاتی هستند که می‌توانند برای خراب کردن عملکردهای ارتباطی بخش یا کل دستگاه مورد استفاده قرار گیرند. تولید کنندگان باید تک تک محصولات خود را بطور جداگانه آزمایش کنند تا تشخیص دهند که حملات در عمل امکان‌پذیر است یا نه و چه الزاماتی باید رعایت شود. محققان خاطرنشان كردند كه تولیدکنندگان باید در نظر بگیرند چگونه یك مهاجم می‌تواند آسیب‌پذیری‌های از طریق بلوتوث را با سایر حملات دسترسی از راه دور ادغام كند و باعث آسیب‌های بیشتر شود.

هر دستگاهی که می‌خواهد بلوتوث را به عنوان یک آپشن پشتیبانی کند، از روند صدور گواهینامه عبور می‌کند تا از قابلیت همکاری در دستگاه‌ها اطمینان حاصل شود.

گروه Bluetooth Special Interest که مسئولیت نظارت بر استانداردهای بلوتوث را بر عهده دارد می‌گوید: FDA آسیب‌پذیری‌های چیپ‌های بلوتوث BLE را ارزیابی می‌کند. FDA همچنان به ارزیابی جدید اطلاعات مربوط به آسیب‌پذیری‌های ناخواسته سایبری می‌پردازد و در صورت دسترس بودن اطلاعات جدید قابل توجه مردم را آگاه می‌کند.

بهره‌برداری از این آسیب‌پذیری‌ها در عمل دشوار است و دستگاه‌های مختلف را درجات مختلفی قرار می‌دهد اما همچنان تأکید می‌شود که امنیت سطح تراشه بسیار مهم است، به ویژه هنگامی که این تراشه‌ها به طور گسترده برون‌سپاری می‌شوند.