揭秘起搏器代码安全,发现8000多出已知错误

医学技术进展迅速,起搏器治疗的发展也越来越成熟和健全,越来越多心脏功能障碍患者选择了安装心脏起搏器。那么针对这一类人群,安装了起搏器并不代表就可以高枕无忧了, 一项仅针对心脏起搏器的研究发现,此类医用心脏装置内的代码中存在高达8000多项已知安全漏洞。而另一项针对广泛在售设备的研究则发现,只有17%的设备制造商已经采取相关举措以保护上述医疗设备。

WhiteScope是一家独立的网络安全服务和培训提供商,研究人员调查了来自四家制造商的多款植入式设备,以及来自同一“生态系统”的其它监控及管理类工具。出于安全考虑并未公布具体存在漏洞的起搏器产品名单,但该组织指出,通过网购的无认证起搏器最容易出现安全问题。来自安全企业Whitescope公司的研究人员比利·瑞斯与乔纳森·巴茨博士表示,研究结果显示,目前心脏起搏器制造商在保持设备补丁更新与避免攻击者利用其中安全漏洞方面面临着“严峻挑战”。

WhiteScope表示,这种事情令人震惊,因为根本不应该发生。作为掌管用户生命的设备,应该更加重视用户的安全性。他们发现,绝大多数制造商并没能利用加密或者其它方式保护设备上的数据或者将此类数据传输至监控系统当中的连接通道。另外,亦没有任何制造商在设备中采用最为基本的登录名与密码保护机制,甚至不会检查其接入的设备是否可信。因此任何人都可以登陆和修改起搏器的程序功能,对工作状态进行修改,后果想想就很可怕。

在一篇较长的文章中,两位研究人员指出各个设备制造商已经努力投入更多精力以“保护这些系统免遭入侵乃至可能因此引发的、面向病患的潜在影响。”瑞斯先生说,他和他的同事把发现的所有问题都已经被上报至美国国土安全部,事实上,面向各医疗设备制造厂商的监督工作正是国土安全部的职责之一。

对制造商,医院和卫生机构进行的关于他们治疗患者使用设备的研究发现,80%的患者表示确实设备难以保证安全。这份研究报道强调称,代码Bug、安全代码编写知识匮乏以及开发时间压力等因素导致了众多设备易受到攻击的现状。尽管已经意识到问题的存在,但只有9%的设备制造商与5%的医疗卫生机构每年对相关设备进行测试以了解潜在安全漏洞情况。其中17%的制造商采取措施确保他们所制造的设备。该研究发现,49%的制造商没有使用美国食品和药物管理局关于如何保护设备的建议。

实际上,高科技在带来更便利的生活时,也总都会给犯罪分子提供新的可乘之机,这本身没有什么奇怪的。而立法者、执法者及其技术盟友们要做的,就是用高科技手段来堵塞这些漏洞,保护民众的安全。这不仅要有技术层面的改进,更依赖于公众安全意识的增强。(科技新发现 康斯坦丁/文)