信息來源:hackernews
據(jù)外媒 26 日?qǐng)?bào)道�����,安全研究人員在本周發(fā)表的一份研究報(bào)告中指出困擾領(lǐng)先起搏器生產(chǎn)廠商的一系列網(wǎng)絡(luò)安全問題,主要包括缺乏身份驗(yàn)證與加密功能���、第三方軟件庫遭受成千上萬漏洞攻擊等�,使起搏器再度成為醫(yī)療器械安全領(lǐng)域的熱議話題�。
起搏器是用于調(diào)節(jié)異常心律的植入式心臟裝置,大多數(shù)可由醫(yī)師與技術(shù)人員在設(shè)備附近或遠(yuǎn)程更新��。WhiteScope IO 研究人員 Billy Rios 與 Jonathan Butts 針對(duì)四家廠商生產(chǎn)的起搏器程控儀( 臨床設(shè)置中用于監(jiān)測(cè)可植入裝置工作原理與設(shè)置治療參數(shù)的裝置 )進(jìn)行了射頻通信檢測(cè)����。
檢測(cè)結(jié)果表明,為植入體提供支持的基礎(chǔ)設(shè)施普遍存在嚴(yán)重安全漏洞�,患者護(hù)理與網(wǎng)絡(luò)安全之間的斗爭(zhēng)相持不下。此外�����,所有心臟起搏器系統(tǒng)在可移動(dòng)媒介上均存在未加密文件系統(tǒng)��。就軟件而言���,Rios 與 Butts 在現(xiàn)有廠商生產(chǎn)的程控儀第三方庫中發(fā)現(xiàn) 8,000 多個(gè)已知漏洞。由于醫(yī)療機(jī)構(gòu)將未加密數(shù)據(jù)(社會(huì)保障卡號(hào)與病歷等)存儲(chǔ)在程控儀中�,因此部分設(shè)備不僅存在患者私人信息被竊取的風(fēng)險(xiǎn)����,還具有侵犯患者隱私之嫌���。
安全專家表示�����,縱觀醫(yī)療設(shè)備現(xiàn)狀����,全面修復(fù)更新仍不失為一大挑戰(zhàn)����。盡管美國(guó)食品藥品監(jiān)督管理局( FDA )已經(jīng)努力簡(jiǎn)化了網(wǎng)絡(luò)安全更新常規(guī)流程,但檢測(cè)結(jié)果仍顯示所有程控儀均與存在已知漏洞的陳舊軟件有關(guān)�。
報(bào)告詳細(xì)內(nèi)容見《 Pacemaker Ecosystem Evaluation.pdf 》
原作者:Michael Mimoso,譯者:青楚����,譯審:游弋
本文由 HackerNews.cc 翻譯整理,封面來源于網(wǎng)絡(luò)��。
轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接
