法制·意见新闻(李娜)近日一项研究显示,医疗科技公司美敦力(Medtronic)的心脏起搏器与胰岛素泵存在安全漏洞。然而,制造商表示,不会修复研究职员在植入式医疗设备上新创造的安全漏洞。然而,如果这一漏洞被黑客滥用,则有可能导致患者受伤乃至去世亡。
黑帽安全大会演示美敦力产品
黑猫安全大会演示侵入起搏器掌握系统
安全隐患
研究职员称心脏起搏器可被黑客掌握 危及患者生命
据英国《卫报》宣布,在美国拉斯维加斯举办的黑帽信息安全会议上,研究职员演示了远程滋扰植入式医疗设备的过程。他们先通过远程禁用植入式胰岛素泵,阻挡其供应药物治疗,接着完备掌握了心脏起搏器系统,并向起搏器发送恶意软件。
演示开始时,来自QED安全方案公司的乔纳森·巴茨与网络安全公司Whitescope的比利·里奥斯阐明,由于演示将让心脏起搏器发出危及生命的电击,为了安全起见,利用连接互联网设备的在场者需离开会场。
接着,巴茨和里奥斯攻击了年夜夫用来给患者心脏起搏器编程的系统。二人重写了编程系统,用一个不祥的骷髅头取代了原来的系统背景。然而,一个真正的黑客可以悄无声息地修正系统的其他程序,从而对连接到该系统的所有起搏器发布对患者不利的指令。
巴茨表示,“很显然,黑客占领起搏器掌握系统后可以发出放电脉冲,从而刺激心脏使之搏动,但是也可以停滞它。”他认为,由于起搏器植入患者体内事情,但放弃治疗的效果和故意侵害是一样的。
早在2017年1月,两名研究职员就将漏洞报告给了美敦力,然而至今他们开拓的观点验证攻击仍旧有效。巴茨指出,“大约155天以前,我们又提醒美敦力公司,其系统易受攻击,有可能被黑客接管。”但是由于再度被忽略,他们决定在黑帽信息安全会议上公开这一漏洞,匆匆使美敦力公司修补安全漏洞。
两名研究职员表示,由于美敦力心脏起搏器的软件没有利用HTTPS加密连接和数字署名固件,这让研究职员可以写入恶意程序。这程序可以在年夜夫察觉不到的情形下操控心脏起搏器的功能,比如变动心脏跳动的次数,从而利用掌握设备改变治疗方法,危及患者生命。
公司说法
毛病对患者安全造成的风险级别为“可接管”
美敦力表示,不会修复创造的毛病,但建议患者和年夜夫特把稳他们用来连接设备的网络。该公司表示,这些毛病对患者安全造成的风险级别为“可接管”。
美国食品药品管理局(FDA)网络安全部门卖力人苏珊娜·施瓦兹表示,该研究表明了“网络生态系统的鸿沟”。施瓦兹称,“起搏器制造商创造,他们的处境比较繁芜。但对付监督部门来说,我们希望确保担保患者正常生活的设备免受黑客攻击。”
美敦力的发言人表示,该公司“独立评估”了Whitescope强调的潜在漏洞,但对这次展示的其他漏洞并不知情。“美敦力将产品安全放在第一。所有设备都存在一定风险,与监管机构一样,我们将努力平衡产品功能与安全风险。”
专家说法
医疗设备制造商针对造孽入侵预防方法不敷
那么,利用心脏起搏器“遥控杀人”是否可行呢?网络安全专家李铁军在接管法制·意见新闻采访时表示,此类测试并非首次,网络安全职员曾就医疗东西的安全问题多次发布研究报告。除了心脏起搏器外,用来掌握输液速率的输液泵也有被黑客掌握的可能性。
一样平常来说,传统的工业系统对抗黑客攻击的意识较弱。一旦运用了网络科技,而设计者又对信息安全不熟习,就存在被攻击掌握的可能性。而医疗设备的制造商假定所有人都会出于善意来利用,以是针对设备被造孽入侵掌握的预防方法不敷。但目前为止,还没有用起搏器“遥控杀人”的实例。
法制·意见新闻原创作品谢绝任何形式编削,意见新闻保留深究法律任务的权利。
