Οι ειδικοί της Kaspersky ανακάλυψαν ότι το πλέον συνηθισμένο πρωτόκολλο μεταφοράς δεδομένων από wearables που χρησιμοποιούνται για την απομακρυσμένη παρακολούθηση ασθενών περιείχε 33 ευπάθειες, συμπεριλαμβανομένων 18 «κρίσιμων τρωτών σημείων» μόνο μέσα του 2021. Πρόκειται για 10 περισσότερα τρωτά σημεία σε σχέση με το 2020, ενώ πλήθος από αυτά παραμένουν χωρίς επιδιόρθωση. Ορισμένα από αυτά τα τρωτά σημεία παρέχουν στους εισβολείς τη δυνατότητα να υποκλέψουν δεδομένα που αποστέλλονται στο διαδίκτυο από τη συσκευή.
Η πανδημία έχει οδηγήσει σε ταχεία ψηφιοποίηση του τομέα της υγειονομικής περίθαλψης. Καθώς τα νοσοκομεία και το προσωπικό υγειονομικής περίθαλψης έχουν κατακλυστεί και πολλοί άνθρωποι βρίσκονται σε καθεστώς καραντίνας στο σπίτι, οι οργανισμοί αναγκάστηκαν να επανεξετάσουν τον τρόπο με τον οποίο παρέχεται η φροντίδα των ασθενών. Στην πραγματικότητα, πρόσφατη έρευνα της Kaspersky διαπίστωσε ότι το 91% των παγκόσμιων παρόχων υγειονομικής περίθαλψης έχει εφαρμόσει δυνατότητες τηλεϊατρικής. Ωστόσο, αυτή η ταχεία ψηφιοποίηση έχει δημιουργήσει νέους κινδύνους για την ασφάλεια, ειδικά όταν πρόκειται για δεδομένα ασθενών.
Κομμάτι της τηλεϊατρικής αποτελεί και η απομακρυσμένη παρακολούθηση ασθενών, η οποία πραγματοποιείται μέσω της χρήσης των λεγόμενων wearables και οθονών. Αυτά περιλαμβάνουν gadget που μπορούν συνεχώς ή κατά διαστήματα να παρακολουθούν τους δείκτες υγείας ενός ασθενούς, όπως η καρδιακή δραστηριότητα.
Το πρωτόκολλο MQTT αποτελεί το πλέον συνηθισμένο πρωτόκολλο για τη μετάδοση δεδομένων από wearables και αισθητήρες, καθώς είναι εύχρηστο και βολικό. Συνεπώς, ενδέχεται εκτός από τα wearables να βρεθεί και σε σχεδόν οποιοδήποτε έξυπνο gadget. Δυστυχώς, κατά τη χρήση του MQTT, ο έλεγχος ταυτότητας είναι απόλυτα προαιρετικός και σπάνια περιλαμβάνει κρυπτογράφηση. Αυτό καθιστά το MQTT ιδιαίτερα ευάλωτο σε man-in-the-middle επιθέσεις (δηλαδή όταν οι επιτιθέμενοι μπορούν να βρεθούν ανάμεσα σε «δύο μέρη» ενώ αυτά επικοινωνούν), ενισχύοντας το ενδεχόμενο δεδομένα που μεταφέρονται μέσω του διαδικτύου να αποτελέσουν αντικείμενο υποκλοπής. Όταν πρόκειται για wearables, οι συγκεκριμένες πληροφορίες θα μπορούσαν να περιλαμβάνουν εξαιρετικά ευαίσθητα ιατρικά δεδομένα, προσωπικές πληροφορίες, ακόμη και τις κινήσεις ενός ατόμου.
Από το 2014, έχουν ανακαλυφθεί 90 ευπάθειες στο MQTT, συμπεριλαμβανομένων κρίσιμων, πολλές από τις οποίες παραμένουν χωρίς επιδιόρθωση μέχρι σήμερα. Το 2021, υπήρχαν 33 νέες ευπάθειες, συμπεριλαμβανομένων 18 κρίσιμων— δηλαδή 10 περισσότερες συγκριτικά με το 2020. Όλες αυτές οι ευπάθειες θέτουν τους ασθενείς σε κίνδυνο υποκλοπής των δεδομένων τους.
Οι ερευνητές της Kaspersky εντόπισαν ευπάθειες όχι μόνο στο πρωτόκολλο MQTT αλλά και σε μία από τις δημοφιλέστερες πλατφόρμες για wearables: την πλατφόρμα Qualcomm Snapdragon Wearable. Περισσότερες από 400 ευπάθειες έχουν εντοπιστεί από τότε που κυκλοφόρησε η εν λόγω πλατφόρμα, οι οποίες δεν έχουν επιδιορθωθεί στο σύνολό τους, συμπεριλαμβανομένων ορισμένων που έχουν εντοπιστεί από το 2020.
Αξίζει να σημειωθεί ότι η πλειονότητα των wearables παρακολουθεί τόσο τα δεδομένα υγείας όσο και την τοποθεσία και τις κινήσεις σας. Αυτό, πέρα από το περιθώριο υποκλοπής δεδομένων, δημιουργεί και τη δυνατότητα stalking.
