Vulnerabilidades permitem sequestro e controle remoto de robôs autônomos em hospitais

Pesquisadores da Cynerio, startup especializada em cibersegurança hospitalar, identificaram um conjunto de vulnerabilidades em robôs autônomos a serviço de hospitais. Nunca antes vistas, as falhas (cinco no total) permitiam que hackers pudessem sequestrar e controlar as máquinas de forma remota — às vezes até mesmo por meio da internet.

Em hospitais de alto padrão, robôs autônomos possuem uma função logística: transportam medicamentos, roupas de cama, alimentos e amostras de laboratório. Para reduzir custos de obra, eles têm acesso aos elevadores e à entrada em partes restritas dos centros de saúde, trabalhando como verdadeiros serviçais digitais.

As vulnerabilidades identificadas pela Cynerio se deram nos robôs fabricados pela Aethon, uma empresa americana que trabalha com transporte em hospitais desde 1997. De acordo com a startup, as falhas foram encontradas não no hardware dos robôs, mas nos servidores-base que são conectados às redes dos hospitais para controlá-los.

As vulnerabilidades incluem desde permitir que os hackers criem novos usuários com acesso de alto nível a controlar os robôs para entrar em locais restritos e bisbilhotar pacientes ou convidados com a câmera embutida nas máquinas. Segundo Asher Brass, principal pesquisador de vulnerabilidades da Aethon, as falhas exigem um “conjunto de habilidades muito baixo”.

Hackers podiam controlar robôs para abrir fechaduras e andar de elevador

De acordo com a Cynerio, usuários “convidados”, sem necessidade de senha, podiam visualizar o feed de câmera dos robôs em tempo real. As imagens, que também incluíam a agenda de horários e tarefas do dia, podiam ser acessadas através de uma interface web interna do hospital. Além disso, embora a rede fosse protegida por uma conta de administrador, as vulnerabilidades na interface permitiam que um hacker pudesse interagir com os robôs sem precisar de login.

Ainda segundo os pesquisadores, era possível expor os robôs a um controle remoto por meio de um joystick conectado à rede e o mais perigoso: interagir com fechaduras de portas, chamar e andar de elevador e abrir e fechar gavetas de medicamentos.

Em casos de hospitais onde o acesso do servidor é limitado a funcionários, segundo a Cynerio, o risco das vulnerabilidades é menor. Mas se os robôs possuem um servidor-base conectado à internet, a chance de uma invasão aumentaria bastante.

Após o alerta da startup, a Aethon corrigiu os bugs em um lote de atualizações de software e firmware. A empresa de equipamentos médicos restringiu o acesso aos servidores expostos à internet, isolando os robôs de possíveis ataques remotos, e corrigiu vulnerabilidades relacionadas à web que afetaram a estação-base.

O CEO da Aethon, Peter Seiff, confirmou as vulnerabilidades encontradas no sistema, mas preferiu não comentar sobre a porcentagem de robôs autônomos corrigidos pela atualização.

Crédito da imagem principal: Aethon/Divulgação

Leia mais:

• Log4Shell: principais agências de segurança cibernética do mundo alertam sobre ameaças de vulnerabilidade
• Vulnerabilidade crítica é encontrada em plugin WordPress presente em mais de um milhão de instalações
• Vulnerabilidade nas CPUs da Intel permite que hackers invadem notebooks e celulares

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!