NurseAngelの日記: インスリンを投与できる脆弱性 1
http://japan.zdnet.com/article/35090118/
Johnson & Johnsonの子会社であるAnimasのインスリンポンプシステム「OneTouch Ping」にセキュリティ脆弱性があることが分かった。悪用すると、攻撃者が遠隔地から不正にインスリンを投与することが可能だという。
「攻撃者はメーターとポンプのキーを傍受した後、そのメーターやポンプになりすますことができる。これは、キーの生成方法を知らなくても可能だ。この脆弱性を悪用すると、リモートからインスリンを投与することが可能になり、患者が低血糖反応を起こすおそれもある」
ポンプとメーターの間で発生する通信には、タイムスタンプもシーケンス番号もないため、傍受した通信内容を再利用する反射攻撃を実行されるおそれがある。