安全動態(tài)

醫(yī)療安全研究:起搏器生態(tài)系統(tǒng)網(wǎng)絡(luò)存在安全隱患,短期內(nèi)難以解決

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-05-30    瀏覽次數(shù):
 

信息來源:hackernews

據(jù)外媒 26 日報(bào)道,安全研究人員在本周發(fā)表的一份研究報(bào)告中指出困擾領(lǐng)先起搏器生產(chǎn)廠商的一系列網(wǎng)絡(luò)安全問題,主要包括缺乏身份驗(yàn)證與加密功能、第三方軟件庫遭受成千上萬漏洞攻擊等,使起搏器再度成為醫(yī)療器械安全領(lǐng)域的熱議話題。

起搏器是用于調(diào)節(jié)異常心律的植入式心臟裝置,大多數(shù)可由醫(yī)師與技術(shù)人員在設(shè)備附近或遠(yuǎn)程更新。WhiteScope IO 研究人員 Billy Rios 與 Jonathan Butts 針對四家廠商生產(chǎn)的起搏器程控儀( 臨床設(shè)置中用于監(jiān)測可植入裝置工作原理與設(shè)置治療參數(shù)的裝置 )進(jìn)行了射頻通信檢測。

adobestock_142019028-680x400

檢測結(jié)果表明,為植入體提供支持的基礎(chǔ)設(shè)施普遍存在嚴(yán)重安全漏洞,患者護(hù)理與網(wǎng)絡(luò)安全之間的斗爭相持不下。此外,所有心臟起搏器系統(tǒng)在可移動媒介上均存在未加密文件系統(tǒng)。就軟件而言,Rios 與 Butts 在現(xiàn)有廠商生產(chǎn)的程控儀第三方庫中發(fā)現(xiàn) 8,000 多個(gè)已知漏洞。由于醫(yī)療機(jī)構(gòu)將未加密數(shù)據(jù)(社會保障卡號與病歷等)存儲在程控儀中,因此部分設(shè)備不僅存在患者私人信息被竊取的風(fēng)險(xiǎn),還具有侵犯患者隱私之嫌。

安全專家表示,縱觀醫(yī)療設(shè)備現(xiàn)狀,全面修復(fù)更新仍不失為一大挑戰(zhàn)。盡管美國食品藥品監(jiān)督管理局( FDA )已經(jīng)努力簡化了網(wǎng)絡(luò)安全更新常規(guī)流程,但檢測結(jié)果仍顯示所有程控儀均與存在已知漏洞的陳舊軟件有關(guān)。

報(bào)告詳細(xì)內(nèi)容見《 Pacemaker Ecosystem Evaluation.pdf 》

原作者:Michael Mimoso,譯者:青楚,譯審:游弋
本文由 HackerNews.cc 翻譯整理,封面來源于網(wǎng)絡(luò)。
轉(zhuǎn)載請注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接

 
 

上一篇:外國專家:區(qū)塊鏈?zhǔn)切碌腖inux 而非新的互聯(lián)網(wǎng)

下一篇:2017年05月30日 聚銘安全速遞