Ci sono voluti due anni per farsi ascoltare, ma finalmente i ricercatori informatici Billy Rios e Jonathan Butts sono riusciti nel loro intento: far classificare come vulnerabili — almeno negli Stati Uniti — alcuni vecchi modelli di microinfusori insulinici utilizzati da migliaia di persone ma suscettibili ad attacchi hacker che se portati a termine possono anche causare la morte dei pazienti. L'unico problema è che anche dopo aver dimostrato l'esistenza della falla, per farsi prendere sul serio i due hanno dovuto dimostrarne la pericolosità realizzando effettivamente un telecomando universale capace di mandare in tilt i dispositivi e provocare ipoglicemia o iperglicemia nei pazienti che vi facevano affidamento.

L'inizio della vicenda — raccontata da Wired — risale ormai a mesi fa, quando i due ricercatori hanno dimostrato che il telecomando a distanza che viene usato per attivare il microinfusore comunica con il dispositivo utilizzando frequenze e segnali che è fin troppo facile scoprire e intercettare per replicarne di falsi. Le comunicazioni tra i due elementi del sistema non sono infatti protette da crittografia, il che vuol dire che qualunque malintenzionato può utilizzare un apparecchio ricevente per registrare i contenuti di un comando inviato dall'apposito dispositivo e con calma fabbricare un emettitore capace di fare la stessa cosa.

È esattamente ciò che mesi dopo hanno fatto i ricercatori, immettendo poi il loro dispositivo all'interno di un telecomando che nell'aspetto è in tutto simile a uno degli originali, ma che può anche agire sotto la direzione di uno smartphone collegato via bluetooth. Un telecomando simile può modificare le impostazioni relative al rilascio di insulina secondo la volontà dell'hacker, provocando al paziente condizioni che possono risultare anche letali.

In realtà per mettere nel mirino uno specifico microinfusore occorrerebbe conoscerne il numero di serie, dato che le comunicazioni tra i dispositivi sono tarate su questo parametro; il programma scritto dai due hacker però effettuando migliaia di tentativi in continuazione agisce potenzialmente su più dispositivi. C'è poi il problema del raggio di azione dell'attacco, limitato innanzitutto dalla protata del telecomando (che è di pochi centimetri) ma soprattutto da quella del dispositivo bluetooth collegato — in questo caso lo smartphone.

Si tratta però di limitazioni che non tolgono concretezza a una minaccia simile, soprattutto per via della semplicità con la quale può essere portata a compimento. L'app e i dettagli sull'attacco hacker non sono ovviamente stati diffusi e fortunatamente la storia si è conclusa il mese scorso, con un comunicato nel quale il produttore ha riconosciuto il problema e consigliato ai pazienti in possesso dei due modelli incriminati — i Medtronic MiniMed 508 e MiniMed Paradigm — di rivolgersi al proprio medico per discutere di una eventuale sostituzione.