美國國土安全部:Medtronic心臟除顫器可被黑客入侵
作者:星期六, 三月 23, 20190

醫療設備制造商Medtronic又一次身處黑客恐慌風暴中心。這次,該公司植入患者心臟的大量除顫器在特定情況下可被無線劫持并重編程,可能造成致命后果。

3月21日,美國國土安全部(DHS)發布安全警報,警示用戶注意Medtronic無線通信系統Conexus中的兩個CVE漏洞。該公司某些心臟除顫器使用Conexus進行植入設備與其控制單元之間的無線通信,無信號增強情況下有效范圍約為7.5米左右。

讀寫訪問

兩個漏洞中更為嚴重的一個是CVE-2019-6538,攻擊者可利用該漏洞干擾設備與其控制器之間傳輸的數據。Conexus協議未對此類篡改做任何檢查,也沒有進行任何形式的身份驗證。這意味著黑客可以偽造控制器,帶到目標設備附近對該數據傳輸加以竊聽和篡改。

為什么說該漏洞情況嚴重?因為只要用合適的無線電設備,在恰當的條件下,黑客就能利用Conexus協議向被植入的心臟除顫器發送指令,讀寫設備內存。也就是說,某個時間點上,惡意人士可以用無線電波操縱該帶漏洞的植入設備,傷害甚至致死病患。

發現并報告該漏洞的研究人員稱,盡管該漏洞可導致除顫器動作遭惡意修改,比如說改成隨機啟動,但仍有一些因素限制了此類惡意篡改。舉個例子,該設備必須要處于監聽模式才能接收指令,而這一狀態在一天中絕大多數時候都沒被激活。

通常也就是預約檢查或者醫生查房時在病人胸部揮動感應棒才會激活監聽模式。要不然就是醫師設定周期,在病人家中自動激活,以無線射頻與Carelink家用監視器通信,檢查并匯報遙測數據。

Medtronic發言人向媒體透露,除了要在無線信號接收范圍內和設備要處于監聽模式,攻擊者還得知道患者所用設備的具體型號,逆向工程其設計以確定該發送哪些指令才可以寫入能引發傷害的必要數據。

因此,想要成功實施該攻擊,攻擊者還真得花費心思接近你。這可不像是暴徒開車上街亂槍掃射那么沒技術含量。

另一個漏洞CVE-2019-6540,反映的是Conexus無線傳輸中加密的缺失。這意味著無線信號覆蓋范圍內的攻擊者可以竊聽被發送和接收的數據,刺探病患的身體狀況。

Medtronic稱正在開發針對兩個漏洞的補丁,并敦促醫生和患者照常使用其除顫器和控制器。

其咨詢文檔中寫道:Medtronic建議患者和醫師繼續按規定和計劃使用這些設備。

遠程監視的好處,如心律失常早期檢測、往返醫院次數減少和生存率提升等等,勝過這些漏洞可能被利用的實際風險。

Medtronic指出,其心臟起搏器產品線不受上述2個漏洞的營銷,只有某些型號的心臟除顫器受影響。

Medtronic并不是第一次因安全疏漏而登上新聞頭條。去年研究人員就報告過一個類似的問題,其心臟起搏器編程模塊使用不安全信道下載固件更新。

DHS警報:

https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

Medtronic公司咨詢文檔:

https://www.medtronic.com/content/dam/medtronic-com/us-en/corporate/documents/Medtronic-security-bulletin_CRHF_Tel_C_FNL.pdf

相關閱讀

黑掉心臟起搏器

小心隨身醫療設備 遠程關閉心臟除顫動器并非難事

美國食品藥物管理局證實:心臟醫療設備可被黑客入侵

分享:
0

相關文章

寫一條評論

 

 

0條評論