研究人员在心脏起搏器产品中发现了超过8600个漏洞

    “如果你想活下去，要么支付赎金，要么选择死亡。”这并不是空穴来风，因为研究人员已经在起搏器中发现了黑客可以利用的成千上万的漏洞。数以百万计的依靠心脏起搏器保持心脏跳动的人将面临着软件故障和黑客的风险，这最终可能会使他们的生命陷入困境。
     起搏器是一种小型电池供电装置，通过手术植入胸部以帮助控制心跳。该装置使用低能电脉冲来刺激心脏以正常速率。虽然网络安全公司正在不断改进软件和安全系统来保护系统免受黑客攻击，但胰岛素泵或起搏器等医疗设备也容易受到危及生命的黑客攻击。
     在最近的一项研究中，安全公司White Scope的研究人员分析了四家不同供应商的七种起搏器产品，发现他们使用了300多个第三方库，其中已知其中174种具有超过8600种漏洞，黑客可以在起搏器程序员中使用。
     研究人员在一篇关于这项研究的博客文章中写道：“尽管美国食品和药物管理局努力简化日常的网络安全更新，但我们检查的所有程序员都已经过时了，已知的漏洞已经过时了。“我们认为，这一统计数据表明，起搏器生态系统在保持系统更新方面存在一些严峻的挑战，与竞争对手相比，没有任何一家供应商真正突破更新/更新的更新故事。”白色范围分析涵盖了可植入心脏装置，家庭监测设备，起搏器程序员和基于云的系统，以将患者的重要数据通过互联网发送给医生进行检查。
     所有由安全公司检查的程序员已经过时已知的漏洞的软件，其中许多程序运行Windows XP。甚么更可怕？研究人员发现，起搏器设备不会对这些程序员进行认证，这意味着任何在外部监测设备上手的人都可能会对植入式心脏起搏器的心脏病患者造成伤害或杀死他们。研究人员的另一个令人不安的发现是起搏器程序员的分布。虽然心脏起搏器程序员的分布应由起搏器设备的制造商仔细控制，但研究人员购买了所有在eBay上测试的设备。因此，任何在eBay上销售的工具都有可能伤害患者的植入物。哎呀！
     研究人员说：“所有制造商都有在拍卖网站上可用的设备。“程序员的成本可能在500美元到3000美元之间，家庭监控设备的价格在15美元到300美元之间，起搏器设备的价格在200到3000美元之间。”更重要的是，在某些情况下，研究人员发现存储在起搏器程序员中的未加密病人的数据，包括名称，电话号码，医疗信息和社会保障号码（SSN），使他们能够被黑客窃取。在起搏器系统中发现的另一个问题是缺乏最基本的身份验证过程：登录名和密码，允许医师验证程序员或心脏植入装置，甚至不必输入密码。这意味着设备或系统范围内的任何人都可以使用来自同一制造商的程序员来改变患者的起搏器设置。
     约翰·霍普金斯大学计算机科学助理教授马修·格林（Matthew Green）在Twitter上指出，医生不愿意让安全系统阻止病人护理。换句话说，医疗人员在紧急情况下不应被强制登录。 “如果您需要医生登录使用密码的设备，那么您将在装有密码的设备上找到一个后备注释，”Green说。
研究人员在四个供应商制造的设备中发现的安全漏洞列表包括硬编码凭证，不安全的外部USB连接，将固件映射到受保护的内存，缺少加密的起搏器固件更新，以及使用通用认证令牌与植入配对设备。
    White Scope已经联系到国土安全部的工业控制系统网络应急小组（ICS-CERT），所以测试设备的制造商可以解决这些缺陷。

    转载自TheHackerNews