Um sistema de gestão da informação da gama Xper, da Philips, tem vulnerabilidades que possibilitam o seu controlo por hackers.
Investigadores da Cylance demonstraram vulnerabilidades no Xper Information Manager que permitem obter o controlo não autorizado e total da plataforma. Esta é usada para suportar funções administrativas dos hospitais e normalmente é integrada com múltiplos sistemas hospitalares, incluindo bases de dados.
A Cylance divulgou as falhas durante a conferência de segurança S4, em Miami, na Flórida. Os seus investigadores, Billy Rios e Terry McCorkle, compraram o sistema a um revendedor, depois de descobrirem que não poderia ser comprado directamente ao fabricante, sem uma licença.
O dispositivo a correr o software tinha uma marca, indicando que era de um hospital do Utah, o qual os investigadores não quiseram identificar. O primeiro problema de segurança está na forma como o software, baseado em Windows XP, lida com a autenticação.
Os investigadores encontraram três contas previamente configuradas, e protegidas por password de utilizador. Com o RainbowCrack quebraram facilmente esse dispositivo de segurança.
O programa é usado para descobrir valores “hash” cifrados, dados aos nomes e passwords pelos sistemas. Depois de obtidas as credenciais, uma pessoa tem acesso total ao sistema Xper, explica Rios disse.
A segunda falha está na maneira como o software lida com ligações de entrada de sistemas médicos desde uma porta específica. Assim os investigadores conseguiram usar uma vulnerabilidade de “heap overflow” para assumir o controlo do produto Xper.
A Philips diz que as vulnerabilidades estão limitadas a uma versão mais antiga do produto. Mas assegura que está a investigar possíveis impactos relacionados com informação revelada na conferência.