近日一項(xiàng)研究顯示，醫(yī)療科技公司美敦力的心臟起搏器與胰島素泵存在安全漏洞。制造商表示，不會(huì)修復(fù)研究人員在植入式醫(yī)療設(shè)備上新發(fā)現(xiàn)的安全漏洞。如果這一漏洞被黑客濫用，很有可能導(dǎo)致患患者受傷甚至死亡。

安全隱患：研究人員稱(chēng)心臟起搏器可被黑客控制 危及患者生命
據(jù)英國(guó)《衛(wèi)報(bào)》報(bào)道，在美國(guó)拉斯維加斯舉辦的黑帽信息安全會(huì)議上，研究人員演示了遠(yuǎn)程干擾植入式醫(yī)療設(shè)備的過(guò)程。他們先通過(guò)遠(yuǎn)程禁用植入式胰島素泵，阻止其提供藥物治療，接著完全控制了心臟起搏器系統(tǒng)，并向起搏器發(fā)送惡意軟件。
演示開(kāi)始時(shí)，來(lái)自QED安全方案公司的喬納森·巴茨與網(wǎng)絡(luò)安全公司W(wǎng)hitescope的比利·里奧斯解釋?zhuān)捎谘菔緦⒆屝呐K起搏器發(fā)出危及生命的電擊，為了安全起見(jiàn)，使用連接互聯(lián)網(wǎng)設(shè)備的在場(chǎng)者需離開(kāi)會(huì)場(chǎng)。
接著，巴茨和里奧斯攻擊了醫(yī)生用來(lái)給患者心臟起搏器編程的系統(tǒng)。二人重寫(xiě)了編程系統(tǒng)，用一個(gè)不祥的骷髏頭取代了原先的系統(tǒng)背景。然而，一個(gè)真正的黑客可以悄無(wú)聲息地修改系統(tǒng)的其他程序，從而對(duì)連接到該系統(tǒng)的所有起搏器發(fā)布對(duì)患者不利的指令。
巴茨表示，“很顯然，黑客攻克起搏器控制系統(tǒng)后可以發(fā)出放電脈沖，從而刺激心臟使之搏動(dòng)，但是也可以停止它?！彼J(rèn)為，由于起搏器植入患者體內(nèi)工作，但放棄治療的效果和故意傷害是一樣的。
兩名研究人員表示，由于美敦力心臟起搏器的軟件沒(méi)有使用HTTPS加密連接和數(shù)字簽名固件，這讓研究人員可以寫(xiě)入惡意程序。這個(gè)程序可以在醫(yī)生察覺(jué)不到的情況下操控心臟起搏器的功能，比如更改心臟跳動(dòng)的次數(shù)，從而利用控制設(shè)備改變治療方法，危及患者生命。

公司說(shuō)法：缺陷對(duì)患者安全造成的風(fēng)險(xiǎn)級(jí)別為“可接受”
美敦力表示，不會(huì)修復(fù)發(fā)現(xiàn)的缺陷，但建議患者和醫(yī)生特注意他們用來(lái)連接設(shè)備的網(wǎng)絡(luò)。該公司表示，這些缺陷對(duì)患者安全造成的風(fēng)險(xiǎn)級(jí)別為“可接受”。
美國(guó)食品藥品管理局（FDA）網(wǎng)絡(luò)安全部門(mén)負(fù)責(zé)人蘇珊娜·施瓦茲表示，該研究表明了“網(wǎng)絡(luò)生態(tài)系統(tǒng)的鴻溝”。施瓦茲稱(chēng)，“起搏器制造商發(fā)現(xiàn)，他們的處境比較復(fù)雜。但對(duì)于監(jiān)督部門(mén)來(lái)說(shuō)，我們希望確保保證患者正常生活的設(shè)備免受黑客攻擊?！?br /> 美敦力的發(fā)言人表示，該公司“獨(dú)立評(píng)估”了Whitescope強(qiáng)調(diào)的潛在漏洞，但對(duì)這次展示的其他漏洞并不知情?！懊蓝亓a(chǎn)品安全放在第一。所有設(shè)備都存在一定風(fēng)險(xiǎn)，與監(jiān)管機(jī)構(gòu)一樣，我們將努力平衡產(chǎn)品功能與安全風(fēng)險(xiǎn)?！?/p>

專(zhuān)家說(shuō)法：醫(yī)療設(shè)備制造商針對(duì)非法入侵預(yù)防措施不足
那么，利用心臟起搏器“遙控殺人”是否可行呢？網(wǎng)絡(luò)安全專(zhuān)家在記者采訪時(shí)表示，此類(lèi)測(cè)試并非首次，網(wǎng)絡(luò)安全人員曾就醫(yī)療器械的安全問(wèn)題多次發(fā)布研究報(bào)告。除了心臟起搏器外，用來(lái)控制輸液速度的輸液泵也有被黑客控制的可能性。
一般來(lái)說(shuō)，傳統(tǒng)的工業(yè)系統(tǒng)對(duì)抗黑客攻擊的意識(shí)較弱。一旦應(yīng)用了網(wǎng)絡(luò)科技，而設(shè)計(jì)者又對(duì)信息安全不熟悉，就存在被攻擊控制的可能性。而醫(yī)療設(shè)備的制造商假定所有人都會(huì)出于善意來(lái)使用，所以針對(duì)設(shè)備被非法入侵控制的預(yù)防措施不足。但目前為止，還沒(méi)有用起搏器“遙控殺人”的實(shí)例。

ice

收藏 海報(bào)分享