رباتی بهنام Aethon که در بیش از صدها بیمارستان بهطور پیشفرض فعالیت میکند، تابهحال دارای آسیبپذیریهای بوده است که هکرها با استفاده از آنها میتوانستند از راه دور آنها را کنترل کنند و دست به اقدامات خطرناکی بزنند.
حدود یک دهه پیش، محقق امنیتی بارنابی جک، بهطور بیسیم پمب انسولین بیمارستانی را بهطور زنده روی صحنه و در حضور صدها نفر هک کرد تا نشان دهد که تحویل دوز کشندهی دارو چهقدر کار آسانی است. در سالهای گذشته امنیتی دستگاههای پزشکی شاهد بهبود بودهاند، هرچند گاهی مشکلاتی در سطح بالا رخ میدهد. با اینحال، در حال حاضر محققان در حال یافتن آسیبپذیریهایی در فناوریهای جدید بیمارستانی هستند که در گذشته وجود نداشته است.
وارد رباتها بیمارستانی خودگردان شوید، اسبهای کارد دیجیتالی که خود را کنترل میکنند و ظاهراََ دوستانه هستند. این رباتها میتوانند داروها، ملحفههای تخت، غذا، داروها و نمونههای آزمایشگاهی را در محوطهی بیمارستان منتقل کنند. این رباتها، همانند رباتهایی که توسط سازندهی ربات Aethon ساخته شده است، مجهز به فضایی برای حمل و نقل کالاهای حیاتی و درعینحال دسترسی امنیتی جهت ورود به بخشهای محدودتر بیمارستان و سوار شدن در آسانسور دارد. همهی اینکارها در حین کاهش هزینه برای نیروی کار انجام میشود.
حال، محققان در Cynerio که استارتاپ امنیت سایبری برای ایمنسازی سیستمهای بیمارستانی و مراقبتهای بهداشتی متمرکز است، مجموعهای از پنج آسیبپذیری که تابهحال مشاهده نشده بود را در رباتهای Aethon کشف کردند. به گفتهی آنها، این آسیبپذیریها به هکرها اجازه میدهد تا این رباتها را بهطور مستقل از راه دور بدزدند و در برخی از موارد آنها را از طریق اینترنت کنترل کنند.
پنج آسیبپذیری که Cynerio مجموعاََ آنها را JekyllBot:5 مینامند، مربوط به خود رباتها نیستند، بلکه مربوط به سرورهای پایهای هستند که برای برقراری ارتباط و کنترل رباتهایی که از راهروهای بیمارستان و هتلها عبور میکنند، مورد استفاده قرار میگیرد. این اشکالات شامل اجازه دادن به هکرها برای ایجاد کاربران جدیدتر با دسترسی سطح بالا جهت ورود به سیستم و کنترل از راه دور رباتها، دسترسی به مناطق محدود، ردیابی بیماران و یا مهمانان با استفاده از دوربینهای داخلی رباتها که در نهایت منجر به ایجاد آشفتگی میشود.
Asher Brass، محقق اصلی آسیبپذیریهای Aethon هشدار داده است که این نقصها نیازمند «مجموعهی بسیار کوچکی از مهارت برای بهرهوری» است.
تصویری از یکی از دوربینهای ربات Aethon
Cynerio دراینباره گفته است که سرورهای پایه دارای رابط وب هستند که میتوان از داخل شبکهی بیمارستان به آن دسترسی پیدا کرد و به کاربرانی که مهمان هستند، اجازه میدهد تا بدون اینکه نیازی به رمز عبور داشته باشند، فیدهای دوربین ربات، برنامهها و وظایف آتی آنها را در طول روز مشاهده کنند. با اینکه عملکرد روباتها توسط حسابی از «ادمین» محافظت میشود، اما محققان گفتهاند که آسیبپذیریهایی که در رابط وب این رباتها موجود هستند، میتوانستند به هکرها اجازه دهند تا بدون اینکه به رمز عبور نیاز داشته باشند، برای مدیریت و ورود به سیستم با روباتها تعامل داشته باشند.
به گفتهی محققان، یکی از پنج باگی که کشف شده است، رباتها را با استفاده از کنترلکنندهی جوی استیک در رابط وی در معرض کنترل از راه دور قرار داده است، درحالی که یکی دیگر از این باگها، برای تعامل با قفل درها، تماس و سوار آسانسورها شدن و در نهایت باز و بسته کردن کشوهای داروها استفاده میشود.
در بیشتر این موارد، در صورتی که دسترسی به سرورهای پایهی روباتها به شبکهی محلی محدود شوند، خطر نیز بهطور بالقوهای محدود میشود و دسترسی فقط برای کارکنانی که وارد سیستم شدهاند، محدود میشود. محققان گفتهاند که خطر برای بیمارستانها، هتلها و یا هرمکان دیگری که این روباتها در آنجا استفاده میشوند و دارای سروری پایه و متصب به اینترنت هساند، بسیار بیشتر است، چراکه آسیبپذیریها میتوانند از هر نقطهای در اینترنت ایجاد شوند.
سینریو گفته است که آنها شواهدی از روباتهایی که بهصورت اینترنتی در بیمارستانها در معرض خطر قرار گرفتهاند و همچنین امکاناتی که آنها برای مراقبت از جانبازان دارند را پیدا کردهاند. Aethon، رباتهای خود را در صدها بیمارستان در سراسر جهان تبلیغ میکند که بسیاری از آنها در ایالات متحده هستند و تا هزاران ربات را تشکیل میدهند.
پس از اینکه Cynerio در مورد این مشکلات به سایر شرکتها هشدار داد، باگها در دستهای بهروزرسانیهای نرمافزاری و سیستمافزاری که توسط Aethon منتشر شدند برطرف شدند. گفته میشود که Aethon سرورهایی که بهصورت اینترنتی در معرض خطر قرار گرفتهاند را محدود کرده است تا رباتها را از حملات احتمالی از راه دور جدا کنند و سایر آسیبپذیریهایی که مرتبط با وب هستند و ایستگاه پایه را تخت تأثیر قرار میدهند، برطرف کند.
پیتر سیف، مدیرعامل ST Engineering Aethon در بیانیهای به TechCrunch، آسیبپذیریهایی که پیشتر اعلام شده بودند را تأیید کرد اما پاسخ به سؤالاتی همانند اینکه «چند درصد از رباتها مستقل مشتریان پس از بهروزرسانی نرمافزار وصله شدهاند؟» خودداری کرد.