医疗设备再爆漏洞,搞不好身体会被黑客控制

关注 2019-07-10 08:50:39 查看数 11027 ,评论数 0 资讯 IoT安全


2013年,曾被称为“全球最牛黑客”的巴纳拜·杰克在家中离奇死亡(年仅35岁),而在死亡前几天,他曾表示要在即将开幕的“白帽”黑客会议上,展示一项惊人的“黑客绝技”——在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,实现“遥控杀人”。


杰克声称,他已经发现了多家厂商生产的心脏起搏器的安全漏洞。所以有传言称,他是因此招来杀身之祸。但该传言不得证实,警方也拒绝透露关于其死因的任何细节。


时至今日,越来越多的植入式医疗器械走进人们的生活,相关的安全提醒也在逐年增加。类似心脏起搏器、植入式心房除颤器、植入式胰岛素泵等植入医疗器械存在网络安全漏洞,已经不再是转喉触讳的话题。


7月初,美国食品和药物管理局(FDA)日前警告糖尿病患者,称医疗设备供应商美敦力公司所制造的MiniMed胰岛素泵存在漏洞,还在其网站上列出了11种版本的美敦力MiniMed胰岛素泵,称容易受到黑客攻击:黑客可通过Wi-Fi连接,将泵的设置更改为低于或高于胰岛素的胰岛素来危害胰岛素泵。此外,今年3月,美国土安全部发布报告称,美敦力的心脏除颤器也存在漏洞,黑客能在无线电范围内更改医疗设备设置。


这还没过几天呢,GE医疗的两款麻醉机又爆出安全问题。Cyber​​MDX(一家专注于医疗设备的网络安全公司)的研究人员发现,医院中使用的某些麻醉机固件中的漏洞可能会被滥用,以改变正常功能,直至调整吸入物质的混合水平。该漏洞影响GE Aestiva和GE Aespire麻醉系统,型号7100和7900,来自GE医疗。


GE医疗集团隶属于GE(通用电气)公司,致力于为全世界提供开创医疗护理新时代的革新性医疗技术和服务。GE公司始于1878年由托马斯-爱迪生创建的爱迪生电气公司,是全球最大的跨行业经营的科技、制造和服务型企业之一,被美国《财富》杂志连续六年票选为“全球最受推崇的企业”之一。


根据研究人员的说法,攻击者可能会迫使易受攻击的设备使用其使用的安全协议版本。这种降级攻击不仅可以远程调节麻醉气体混合物的成分,还可以抑制警报、改变系统的时间和日期、以及改变气压。


麻醉物质的浓度因患者的不同而不同,这取决于患者的生理情况、个体状况和效果持续时间。所有这些都受到确保每个人正确剂量的程序和方案的约束。麻醉气体浓度的变化可能对患者产生负面影响,出于这个原因,麻醉系统通常连接到网络以持续监测它们的当前状态。


但GE麻醉机的漏洞让攻击成为可能,攻击者需要与易受攻击的计算机位于同一网络上,但不需要特殊权限。如果系统连接到终端服务器,则不需要知道目标的IP地址。


利用这个bug可以启用会影响以下内容的命令:


  • 气体成分输入:设定吸入/呼出氧气、CO2、N2O和麻醉剂的浓度; 还能够设定气压并选择麻醉剂类型。
  • 静音警报:机器的警报会产生连续的巨大噪音,直到引起医护人员的注意并且处理潜在的患者/设备状况(攻击者可以利用漏洞发送命令使警报处于静音状态)。
  • 设定日期和时间。

医疗器械用到的软件、芯片越多,它被攻击的可能性就越大。虽然Cyber ​​MDX对此漏洞的评分为5.3,不高,但医疗设备中的每次安全故障都会产生严重后果。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...