Computing technology has been getting more reliable and cheaper every year for the past several decades. Consequently, IoT devices have now become a part of medical technology. One example of this is a new open-source technology that has emerged for type-1 diabetes patients, which regulates the patients’ blood glucose levels. One component of this open-source system is AndroidAPS, a mobile application that manages and controls the system by communicating with the two other components: a blood glucose sensor and an insulin pump. Another component is Nightscout, a web application for monitoring T1D patients. Together they form the APS ecosystem that automatically i) reads blood glucose values, ii) syncs the data with Nightscout, iii) stores patient information into Nightscout database, iv) calculates optimal treatment plan, and v) regulates pump for the ideal insulin intake. The whole system bears several critical assets to guarantee patient health. In this thesis, the security of a representative APS ecosystem is studied. We found 5 critical vulnerabilities in the ecosystem: 1) an XSS vulnerability in the web application due to ineffective input sanitization which lead to stealing administrator password from browser cache, 2) highly sensitive patient data is open to public by default, 3) the web application login mechanism, where all system data is managed, is weak against password guessing attacks together with 4) insecure GET requests used for authentication, and lastly 5) any type of database hijack does not trigger any alarms for Nightscout. Successful attacks result in malicious values synchronized from Nightscout to tamper correct insulin delivery calculations. Possible attack scenarios, devised from existing vulnerabilities in this work, show how an attacker can physically harm their victims through their internet-connected insulin pump. / Datorteknik har blivit mer pålitlig och billigare varje år under de senaste decennierna. Följaktligen har IoT-enheter nu blivit en del av medicinsk teknik. Ett exempel på detta är en ny öppen källkodsteknik som har utvecklats för typ 1- diabetespatienter, som reglerar patienternas blodsockernivåer. En komponent i detta öppen källkodssystem är AndroidAPS, en mobilapplikation som hanterar och kontrollerar systemet genom att kommunicera med de två andra komponenterna: en blodsockersensor och en insulinpump. En annan komponent är Nightscout, en webbapplikation för övervakning av T1D-patienter. Tillsammans bildar de APSekosystemet som automatiskt i) läser blodsockervärden, ii) synkroniserar data med Nightscout, iii) lagrar patientinformation i Nightscout-databasen, iv) beräknar optimal behandlingsplan och v) reglerar pumpen för perfekt insulinintag. Hela systemet har flera kritiska tillgångar för att garantera patientens hälsa. I denna avhandling studeras säkerheten för ett representativt APS-ekosystem. Vi hittade 5 kritiska sårbarheter i ekosystemet: 1) en XSS-sårbarhet i webbapplikationen på grund av ineffektiv sanering av ingångar som leder till att stjäla administratörslösenord från webbläsarens cache, 2) mycket känsliga patientdata är öppna för allmänheten som standard, 3) webben applikationsinloggningsmekanism, där all systemdata hanteras, är svag mot gissningar av lösenord tillsammans med 4) osäkra GET-förfrågningar som används för autentisering, och slutligen 5) någon typ av databaskapning utlöser inga larm för Nightscout. Framgångsrika attacker resulterar i skadliga värden som synkroniseras från Nightscout för att manipulera korrekta insulinleveransberäkningar. Möjliga attackscenarier, utformade utifrån befintliga sårbarheter i detta arbete, visar hur en angripare fysiskt kan skada sina offer genom sin internetanslutna insulinpump.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-292735 |
| Date | January 2020 |
| Creators | Ceylan, Batuhan |
| Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | English |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | TRITA-EECS-EX ; 2020:936 |
Page generated in 0.0128 seconds