发布时间:2017-06-04 18:50:39 文章来源:互联网
微博 微信 QQ空间
    植入式心脏设备很多都存在漏洞,这样的情况已经存在很多年了。去年8月,知名做空机构浑水资本(MuddyWatersCapital)在MedSec的协助研究下,发布报告称著名医疗器械公司圣犹达(St.JudeMedical,STJ)生产的多款心脏植入设备存在多个重大安全漏洞,可导致“致命性”网络攻击,对患者生命安全造成威胁。

    由于心脏起搏器直接关乎患者的生命,厂商更应该严肃对待其中的安全问题,但研究人员还是在这些产品中发现大量漏洞。
 
    WhiteScope是一家由BillyRios创立的公司,BillyRios是第一个分析医疗设备的研究人员。WhiteScope最近发表了一份报告,分析了植入性心脏设备的生态环境架构和依赖性,分析主要关注了心脏起搏器。
 
    多种设备存在安全问题
 
    分析涉及的设备包括四家厂商的家用监控系统,植入设备、起搏器编程器和病患支持网络。研究人员调查了每种设备的类型和设备之间的通信。
 
    调查中所使用的设备购自eBay,研究发现许多产品都采用商业现成的微处理器,逆向工程很容易进行。
 
    对于家用监控设备,研究人员发现网上能够很容易找到数据表,黑客可以知道监控设备如何工作以及怎么操控他们。由于没有进行打包、混淆和加密,固件的逆向工程也是非常容易。
 
    植入设备中的调试功能同样会暴露固件的信息。恶意攻击者可能会利用这些功能获得入侵一些设备的权限,包括家用监控系统和医生用来对起搏器进行诊断和编程的起搏器编程器。
 
    除此之外,WhiteScope在分析了四个起搏器编程器后发现,他们使用了超过300个第三方库。这些库中的174个存在总共超过8000个漏洞。
 
    四大厂商无一幸存
 
    “尽管FDA在强调网络安全更新上做出了诸多努力,但我们检查的编程器中仍然存在一些含有已知漏洞的过时软件,”Rios在博文中说“我们相信这个统计会显示心脏起搏器的生态系统在确保使用软件最新版本的方面存在问题。没有一个厂商在更新软件方面有特别突出的表现。”

另一视角

换一换