Home > Notícias

Pesquisadores encontram falha grave em software de medicina personalizada

Brecha poderia ser explorada para editar registros de sequências genéticas de pacientes, deixando-os sob risco de receberem medicamentos errados

George Nott, Computerworld

08/07/2019 às 17h58

Foto: Shutterstock

Pesquisadores do Sandia National Laboratories identificaram uma grave vulnerabilidade em um software open source de análise genômica, amplamente utilizado. A brecha de segurança poderia ser explorada por agentes mal-intencionados para editar registros de sequências genéticas de pacientes, deixando-os sob risco de receberem medicamentos ineficazes ou tóxicos.

A falha foi encontrada no programa de combinação de genomas Burrows-Wheeler Aligner (BWA) e notificada aos desenvolvedores antes de ser revelada na semana passada. Um patch foi emitido para resolver a vulnerabilidade corrigida na última versão.

O processo de usar a informação genética de um paciente para orientar o tratamento médico envolve sequenciar o conteúdo genético das células de um paciente e comparar essa sequência com um genoma humano padronizado. Os pesquisadores disseram que encontraram um ponto fraco quando o programa BWA importou o genoma humano padronizado dos servidores do governo dos Estados Unidos.

A sequência padronizada do genoma viajou por canais inseguros, o que criou a oportunidade de um ataque do tipo "man-in-the-middle". Tal brecha poderia ser explorada para enviar um malware com a sequência padronizada, o que alteraria as informações genéticas do paciente obtidas a partir do sequenciamento.

"O malware poderia então alterar os dados genéticos brutos de um paciente durante o mapeamento do genoma, tornando a análise final incorreta sem que ninguém soubesse", disseram os pesquisadores. "Praticamente, isso significa que os médicos poderiam prescrever um medicamento baseado na análise genética que, se tivessem a informação correta, saberiam ser ineficaz ou tóxico para um paciente", acrescentaram.

Assim como os médicos, laboratórios forenses e empresas de sequenciamento de genoma que usam o software de mapeamento também ficaram temporariamente vulneráveis a resultados mal-intencionados. No entanto, os testes genéticos para o consumidor final não foram afetados, pois seguem um método de sequenciamento diferente.

"Nós exploramos uma vulnerabilidade clássica de buffer overflow que pode ser facilmente resolvida usando práticas de alocação de buffer mais seguras, conforme realizado no código do BWA", disse Corey Hudson, pesquisador de bioinformática da Sandia que ajudou a descobrir o problema. "Uma vez que descobrimos que esse ataque poderia alterar a informação genética de um paciente, seguimos a divulgação responsável", acrescentou.

Agências públicas dos EUA, incluindo especialistas em segurança cibernética da Computer Emergency Readiness Team (CERT) foram alertadas e os Institutos Nacionais de Padrões e Tecnologia emitiram uma nota para desenvolvedores de software, pesquisadores de genoma e administradores de rede. Nenhum ataque desta vulnerabilidade é conhecido atualmente.

“Nossa principal recomendação para mitigar ataques direcionados a outros softwares genômicos ou outras áreas do pipeline é separar o armazenamento de dados com seu processamento”, disse Hudson. “Acreditamos que essa separação de responsabilidades deve ser uma prática padrão recomendada implementada por todas as instalações que realizam pesquisa e processamento genômico.”

Hudson e sua equipe também encorajaram os pesquisadores de segurança que analisam softwares de código aberto a identificar os pontos fracos dos programas. A prática é comum em sistemas de controle industrial e software usados em infraestrutura crítica, disse Hudson, mas seria uma nova área para a segurança genômica. "Nosso objetivo é tornar os sistemas mais seguros para as pessoas que os utilizam, ajudando a desenvolver melhores práticas", disse ele.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail