揭秘起搏器代碼安全，發(fā)現(xiàn)8000多出已知錯誤

醫(yī)學技術進展迅速，起搏器治療的發(fā)展也越來越成熟和健全，越來越多心臟功能障礙患者選擇了安裝心臟起搏器。那么針對這一類人群，安裝了起搏器并不代表就可以高枕無憂了，　一項僅針對心臟起搏器的研究發(fā)現(xiàn)，此類醫(yī)用心臟裝置內(nèi)的代碼中存在高達8000多項已知安全漏洞。而另一項針對廣泛在售設備的研究則發(fā)現(xiàn)，只有17%的設備制造商已經(jīng)采取相關舉措以保護上述醫(yī)療設備。

WhiteScope是一家獨立的網(wǎng)絡安全服務和培訓提供商，研究人員調(diào)查了來自四家制造商的多款植入式設備，以及來自同一“生態(tài)系統(tǒng)”的其它監(jiān)控及管理類工具。出于安全考慮并未公布具體存在漏洞的起搏器產(chǎn)品名單，但該組織指出，通過網(wǎng)購的無認證起搏器最容易出現(xiàn)安全問題。來自安全企業(yè)Whitescope公司的研究人員比利·瑞斯與喬納森·巴茨博士表示，研究結果顯示，目前心臟起搏器制造商在保持設備補丁更新與避免攻擊者利用其中安全漏洞方面面臨著“嚴峻挑戰(zhàn)”。

WhiteScope表示，這種事情令人震驚，因為根本不應該發(fā)生。作為掌管用戶生命的設備，應該更加重視用戶的安全性。他們發(fā)現(xiàn)，絕大多數(shù)制造商并沒能利用加密或者其它方式保護設備上的數(shù)據(jù)或者將此類數(shù)據(jù)傳輸至監(jiān)控系統(tǒng)當中的連接通道。另外，亦沒有任何制造商在設備中采用最為基本的登錄名與密碼保護機制，甚至不會檢查其接入的設備是否可信。因此任何人都可以登陸和修改起搏器的程序功能，對工作狀態(tài)進行修改，后果想想就很可怕。

在一篇較長的文章中，兩位研究人員指出各個設備制造商已經(jīng)努力投入更多精力以“保護這些系統(tǒng)免遭入侵乃至可能因此引發(fā)的、面向病患的潛在影響?！比鹚瓜壬f，他和他的同事把發(fā)現(xiàn)的所有問題都已經(jīng)被上報至美國國土安全部，事實上，面向各醫(yī)療設備制造廠商的監(jiān)督工作正是國土安全部的職責之一。

對制造商，醫(yī)院和衛(wèi)生機構進行的關于他們治療患者使用設備的研究發(fā)現(xiàn)，80%的患者表示確實設備難以保證安全。這份研究報道強調(diào)稱，代碼Bug、安全代碼編寫知識匱乏以及開發(fā)時間壓力等因素導致了眾多設備易受到攻擊的現(xiàn)狀。盡管已經(jīng)意識到問題的存在，但只有9%的設備制造商與5%的醫(yī)療衛(wèi)生機構每年對相關設備進行測試以了解潛在安全漏洞情況。其中17％的制造商采取措施確保他們所制造的設備。該研究發(fā)現(xiàn)，49％的制造商沒有使用美國食品和藥物管理局關于如何保護設備的建議。

實際上，高科技在帶來更便利的生活時，也總都會給犯罪分子提供新的可乘之機，這本身沒有什么奇怪的。而立法者、執(zhí)法者及其技術盟友們要做的，就是用高科技手段來堵塞這些漏洞，保護民眾的安全。這不僅要有技術層面的改進，更依賴于公眾安全意識的增強。（科技新發(fā)現(xiàn) 康斯坦丁/文）

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。