你的“心脏”存在致命漏洞,请尽快进行固件升级!
The following article is from GeekPwn Author 胖君
医疗器械第一新媒体
分享最专业的医疗器械知识
"GE智服务"系列方案全新亮相
点击查看
HBO 根据同名小说改编而成的自制剧《西部世界》第二季重磅回归!
激动之余,胖君看到另一条消息:从 Abbot Laboratories (雅培公司)进行心脏植入的患者,请尽快前往附近医疗中心进行固件升级——
其中一个原因竟然是现有的固件中存在漏洞。
现代科技拼命让人们分不清现实与虚拟。在人工智能觉醒之前,我们可能已经被自己搞死了。
“全球五十万心脏起搏器被召回”的背后
美国生理学家阿尔伯特•海曼(Albert Hyman)在 1932 年改良制造出了第一台心脏起搏器。美国工程师厄尔•巴克肯(Earl Bakken)在1958 年进一步制造出可随身携带的心脏起搏器。没过几年,心脏起搏器就投入到广泛的治疗和应用之中。
左:阿尔伯特•海曼
右:厄尔•巴克肯
心脏起搏器是一种用于治疗心脏疾病的医疗用具,帮助心脏按设定的正常频率跳动,从而拯救生命。
据《大西洋月刊》记载,从 1993 年至 2009 年,有近 300 万美国人植入了起搏器。纽约大学 Lior Jankelson 介绍,目前患者使用的新型起搏器都是云链接的。这些设备延续了生命,却也留下了遭受恶意攻击的安全隐患。
2007 年,美国前副总统迪克·切尼就曾为防止刺客通过干扰起搏器进行攻击,而让医生将其心脏起搏器的无线功能关闭。2008 年,密歇根大学的安全研究人员曾发现,从起搏器中提取敏感信息完全可行,甚至可以通过改变起搏规律或关闭起搏器威胁生命。
曾经以“让 ATM 机吐钞的黑客”闻名的 IOActive 安全研究员 Barnaby Jack 发现了心脏起搏器漏洞,却在 2013 年参加 Blackhat 发表《植入式医疗器械:人体黑客》议题之前,意外身亡,令人惋惜。
2016 年,网络安全公司 MedSec Holdings 与做空机构浑水公司合作公开了一份安全漏洞报告,声称发现了美国老牌医疗器械制造商 St. Jude Medical 制造的心脏起搏器存在被黑客入侵的安全隐患,后来却遭到这一品牌的诽谤控诉。
正在面临雅培公司收购的 St. Jude 一开始便否认了所有安全问题,并指责 “浑水公司似乎一直在不断的制造这种不实的报告,然后影响对方公司的股票价格”。尽管,多位安全专家为设备确实存在“一些比较严重的无线协议安全漏洞”出面证明。
据《华尔街见闻》引用业内人士指出,一家网络安全公司与做空机构合作公开一份设备安全漏洞报告的行为是史无前例的。而 FDA 和美国国土安全局都在各自调查后,表示:病人可以放心继续使用 St. Jude 的心脏移植设备。
同年 10 月,St. Jude 制造的心脏去颤器电池提早没电,造成两起死亡案例。公司宣布召回 4000 件产品。
2017 年 1 月,已经被雅培以 250 亿美元收购的 St. Jude 发布漏洞补丁,但是坚持“这些设备受到网络攻击的风险很低”。
本文授权转载自 GeekPwn
相关阅读
飞利浦大面积主动召回:波及5大主营业务!2872台医疗设备!