Aplicativo Ypsomed ‘MyLife’ vulnerável a ataques remotos de baixa complexidade

A CISA alerta sobre algumas vulnerabilidades no aplicativo Ypsomed ‘MyLife’, e na estrutura na nuvem, que pode permitir que um atacante remoto obtenha informações confidenciais ou modifique a integridade dos dados que estão sendo transmitidos.

Se considerarmos que o 'MyLife' é um aplicativo médico criado como uma ferramenta de acompanhamento para YpsoPump, as implicações do problema tornam-se potencialmente graves. O objetivo do MyLife é ajudar as pessoas com diabetes a administrar sua ingestão de substâncias e alimentos, monitorar e controlar seus níveis de glicose e, em geral, manter-se seguras e saudáveis.

Os problemas foram encontrados por um grupo de pequisa da Alemanha e foram categorizadas como:

• CVE-2021-27491: Credenciais insuficientemente protegidas no Ypsomed MyLife Cloud, onde o produto revela os hashes de senha durante o processo de registro. (Pontuação CVSS v3: 5,8)

• CVE-2021-27495: Credenciais insuficientemente protegidas no Ypsomed MyLife Cloud, que reflete a senha do usuário durante o processo de login durante um redirecionamento de um HTTPS para um endpoint HTTP. (Pontuação CVSS v3: 6,3)

• CVE-2021-27499: O aplicativo Ypsomed MyLife e a nuvem não usam IVs aleatórios em sua camada de criptografia, de modo que as comunicações podem ser quebradas e lidas em ataques man-in-the-middle. (Pontuação CVSS v3: 5,4)

• CVE-2021-27503: O aplicativo Ypsomed MyLife e a nuvem dependem de credenciais embutidas em código que permitem que atores intermediários adulterem as mensagens. (Pontuação CVSS v3: 5,4).

O fabricante suíço de dispositivos médicos lançou uma atualização de correção para o aplicativo, que acompanha a versão 1.7.5. Se você estiver executando algo mais antigo do que isso atualize seu aplicativo imediatamente. Quanto ao produto em Cloud, a versão 1.7.2 corrige os problemas acima, e os usuários dele não devem ter que fazer nada para acessá-lo.

Infelizmente, usar a bomba de insulina MyLife YpsoPump sem o aplicativo que a acompanha é impossível, portanto, se você confia em produtos médicos e no software que os acompanha, deve sempre ficar de olho nas questões de segurança e também permanecer atento contra dados inesperados ou alterações de configuração. A manipulação de dispositivos médicos é um problema sério com implicações potencialmente catastróficas, portanto, os usuários de dispositivos médicos inteligentes e conectados devem estar cientes dos perigos.