查看原文
其他

8000多项安全漏洞!起搏器是救人神器还是催命符?

2017-05-29 E安全官网 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全5月29日讯 两份国外独立研究报告警告称,医院中所使用的起搏器、胰岛素泵与其它设备存在安全问题,导致其极易受到攻击影响。

一项仅针对心脏起搏器的研究发现,此类医用心脏装置内的代码中存在高达8000多项已知安全漏洞。

而另一项针对广泛在售设备的研究则发现,只有17%的设备制造商已经采取相关举措以保护上述医疗设备。

而就在两份报告发布前不久,英国超过60家医疗卫生机构在网络攻击活动中沦为受害者。


起搏器安全形势危急


在这份关于心脏起搏器的研究报告中,研究人员调查了来自四家制造商的多款植入式设备,以及来自同一“生态系统”的其它监控及管理类工具。

来自安全企业Whitescope公司的研究人员比利·瑞斯与乔纳森·巴茨博士表示,研究结果显示,目前心脏起搏器制造商在保持设备补丁更新与避免攻击者利用其中安全漏洞方面面临着“严峻挑战”。


他们发现,绝大多数制造商并没能利用加密或者其它方式保护设备上的数据或者将此类数据传输至监控系统当中的连接通道。

另外,亦没有任何制造商在设备中采用最为基本的登录名与密码保护机制,甚至不会检查其接入的设备是否可信。

瑞斯在报告中写道,一般来讲,此类设备由于体积较小且计算能力低下,因此很难应用其它设备中所广泛采用的安全保障标准。

英国NHS于今年5月初受到WannaCry蠕虫病毒的严重侵扰,受到病毒影响,英国的一些医生被迫取消了治疗项目


在一份长篇论文中,两位研究人员指出各设备制造商已经努力投入更多精力以“保护这些系统免遭入侵乃至可能因此引发的、面向病患的潜在影响。”

瑞斯先生解释称,他们发现的所有问题都已经被上报至美国国土安全部——事实上,面向各医疗设备制造厂商的监督工作正是国土安全部的职责之一。


这项独立研究同时提到,在与制造商、医院以及各医疗卫生机构的沟通当中,80%的受访者表示用于病患治疗的设备确实极易受到攻击且无法保证安全。

这份研究报道强调称,代码Bug、安全代码编写知识匮乏以及开发时间压力等因素导致了众多设备易受到攻击的现状。

尽管已经意识到问题的存在,但只有9%的设备制造商与5%的医疗卫生机构每年对相关设备进行测试以了解潜在安全漏洞情况。

相对而言,更多制造商(17%)会采取措施保护其制造的医疗设备。

研究同时发现,49%的医疗设备制造商并没有遵循由美国食品与药物管理局出台的医疗设备保护建议。

来自安全企业Synopsys公司的研究报告联合作者拉瑞·波纳蒙博士指出,“医疗设备的安全性对于设备制造商以及医疗卫生服务机构而言都是真正关乎生命安全的大问题。”

他同时补充称,“医疗器械行业需要尽快将对此类设备的安全保护视为重中之重并加以解决。”

扩展阅读:

2013年,“全球最牛”黑客巴纳拜·杰克离奇死亡。杰克去世前向外界宣布:他要在7月31日开幕的“黑帽”黑客会议上,展示在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,从而令“遥控杀人”成为现实。杰克声称,他已经发现了多家厂商生产的心脏起搏器的安全漏洞。 由于美国警方拒绝透露杰克死亡细节,杰克的死引发了各种疯狂阴谋论——有阴谋论者指出,杰克最新针对医疗设备的“遥控杀人”技术不仅会对公众的生活安全构成威胁,也将令生产这些存在漏洞的医疗设备的厂商的名誉和经济利益遭到重创,不排除杰克因此惹火烧身,招来杀身之祸。在2010年“黑帽”黑客会议上他独创黑客技术令自动提款机狂吐钞票,使其一跃成为全球最牛的“明星黑客”。


29
E安全要闻简讯

官网:

2017年5月

01各类医用起搏器控制代码中存在高达8000种已知安全漏洞
02网络反恐形势严峻!G7峰会呼吁互联网巨头联合打击
03新法案!美国要求军方执行秘密网络行动要通知国会
04曼彻斯特恐袭之后,欧洲“加密战”再升温
05 IT业工资首次超金融居首,媒体:为何这是种必然
06连续收购投资网络安全公司,微软想从以色列买什么
07云安全联盟CSA最新《联网汽车安全观察与建议》


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存