研究員成功駭進心律調節器!製造商卻推拖不修漏洞

評論
評論
REUTERS/Fabrizio Bensch

根據 WiredArsTechnicaThe Guardian 報導,在近期舉辦的黑帽資安研討會,2 位資安研究人員成功示範駭進美國智慧醫療器材公司 Medtronic 生產的心律調節器及植入式胰島素幫浦中,揭露了攸關生死的智慧醫療器材安全漏洞,而且經回報後 Mertronic 並無修補此漏洞的打算。

兩位研究員分別為來自 QED Secure Solutions 的 Jonathan Butts 以及 Whitescope.io 的 Billy Kim Rios。在開始示範前,研究員特別警告身上有安裝這兩款產品者先離開會議室。他們現場駭進醫生用的心律調整器設定系統,還把系統背景改成了骷髏以展示成功覆寫系統,當然他們也強調真實應用中可以完全無聲無息地駭入。

他們接著就能對所有連接到系統的心律調整器發出任意指令,包括發出電擊,或者相反過來讓心律調節器失效而停止電擊,這些都可能威脅到病患的生命。

而促使他們公開這項漏洞的原因在於,其實他們早就在 155 天前發現漏洞並警告 Medtronic,但 Meditronic 似乎想息事寧人,僅簡單回應這漏洞「不太可能使用遠端攻擊」,而且沒有確實告知大眾這漏洞可能的影響範圍有多大。Meditronic 的公告說法是攻擊者「可能影響」傳送到資料更新系統的資料,Rios 認為,這種說詞會讓大眾低估問題的嚴重性。

Medtronic 當時表明不會對漏洞進行修補,而是建議病患與醫生多加注意裝置連結的網路,並表示此漏洞對病人安全產生的風險較低(是可接受的風險)。

事件爆發後,美國食品藥物管理署 FDA 指出這是產業生態中的青黃不接,並表示會確保這些裝置及病患的生活品質受到妥善保護。

而 Medtronic 則回應一開始是將 Whitescope 傳來的潛在漏洞「獨立評估」,且「當下對他們指出的其他漏洞並不知情。」,也強調「Medtronic 總是將產品安全放在第一。」「所有的裝置都有某種程度的風險,而就像官方規範一樣,我們也時時致力為我們提供的產品優勢與風險間找到平衡。」

 

 

相關文章

評論