研究员成功骇进心律调节器!製造商却推拖不修漏洞

2020-07-27

研究员成功骇进心律调节器!製造商却推拖不修漏洞
Doctor Bjoern Peters explains details of an X-ray picture on a monitor showing the world's first cardiac re-synchronisation therapy defibrillator device 'Consulta CRT-D', made by U.S. company Medtronic Inc., implanted to German patient Monique Pachalek at the German Heart Institute Berlinin Berlin, April 29, 2008. Pachalek is the first patient worldwide to have the device implanted on April 23. The product makes it possible to the hospital to communicate with the patient's pacemaker over a phone line. REUTERS/Fabrizio Bensch- BM2E44T14PX01

根据 Wired、ArsTechnica、The Guardian 报导,在近期举办的黑帽资安研讨会,2 位资安研究人员成功示範骇进美国智慧医疗器材公司 Medtronic 生产的心律调节器及植入式胰岛素帮浦中,揭露了攸关生死的智慧医疗器材安全漏洞,而且经回报后 Mertronic 并无修补此漏洞的打算。

两位研究员分别为来自 QED Secure Solutions 的 Jonathan Butts 以及 Whitescope.io 的 Billy Kim Rios。在开始示範前,研究员特别警告身上有安装这两款产品者先离开会议室。他们现场骇进医生用的心律调整器设定系统,还把系统背景改成了骷髅以展示成功覆写系统,当然他们也强调真实应用中可以完全无声无息地骇入。

他们接着就能对所有连接到系统的心律调整器发出任意指令,包括发出电击,或者相反过来让心律调节器失效而停止电击,这些都可能威胁到病患的生命。

而促使他们公开这项漏洞的原因在于,其实他们早就在 155 天前发现漏洞并警告 Medtronic,但 Meditronic 似乎想息事宁人,仅简单回应这漏洞「不太可能使用远端攻击」,而且没有确实告知大众这漏洞可能的影响範围有多大。Meditronic 的公告说法是攻击者「可能影响」传送到资料更新系统的资料,Rios 认为,这种说词会让大众低估问题的严重性。

Medtronic 当时表明不会对漏洞进行修补,而是建议病患与医生多加注意装置连结的网路,并表示此漏洞对病人安全产生的风险较低。

事件爆发后,美国食品药物管理署 FDA 指出这是产业生态中的青黄不接,并表示会确保这些装置及病患的生活品质受到妥善保护。

而 Medtronic 则回应一开始是将 Whitescope 传来的潜在漏洞「独立评估」,且「当下对他们指出的其他漏洞并不知情。」,也强调「Medtronic 总是将产品安全放在第一。」「所有的装置都有某种程度的风险,而就像官方规範一样,我们也时时致力为我们提供的产品优势与风险间找到平衡。」

上一篇:
下一篇:
扩展阅读