研究員成功駭進心律調節器!製造商卻推拖不修漏洞

評論
評論
Doctor Bjoern Peters explains details of an X-ray picture on a monitor showing the world's first cardiac re-synchronisation therapy defibrillator device 'Consulta CRT-D', made by U.S. company Medtronic Inc., implanted to German patient Monique Pachalek at the German Heart Institute Berlin (DHZB) in Berlin, April 29, 2008. Pachalek is the first patient worldwide to have the device implanted on April 23. The product makes it possible to the hospital to communicate with the patient's pacemaker over a phone line. REUTERS/Fabrizio Bensch (GERMANY) - BM2E44T14PX01

根據 WiredArsTechnicaThe Guardian 報導,在近期舉辦的黑帽資安研討會,2 位資安研究人員成功示範駭進美國智慧醫療器材公司 Medtronic 生產的心律調節器及植入式胰島素幫浦中,揭露了攸關生死的智慧醫療器材安全漏洞,而且經回報後 Mertronic 並無修補此漏洞的打算。

兩位研究員分別為來自 QED Secure Solutions 的 Jonathan Butts 以及 Whitescope.io 的 Billy Kim Rios。在開始示範前,研究員特別警告身上有安裝這兩款產品者先離開會議室。他們現場駭進醫生用的心律調整器設定系統,還把系統背景改成了骷髏以展示成功覆寫系統,當然他們也強調真實應用中可以完全無聲無息地駭入。

他們接著就能對所有連接到系統的心律調整器發出任意指令,包括發出電擊,或者相反過來讓心律調節器失效而停止電擊,這些都可能威脅到病患的生命。

而促使他們公開這項漏洞的原因在於,其實他們早就在 155 天前發現漏洞並警告 Medtronic,但 Meditronic 似乎想息事寧人,僅簡單回應這漏洞「不太可能使用遠端攻擊」,而且沒有確實告知大眾這漏洞可能的影響範圍有多大。Meditronic 的公告說法是攻擊者「可能影響」傳送到資料更新系統的資料,Rios 認為,這種說詞會讓大眾低估問題的嚴重性。

Medtronic 當時表明不會對漏洞進行修補,而是建議病患與醫生多加注意裝置連結的網路,並表示此漏洞對病人安全產生的風險較低(是可接受的風險)。

事件爆發後,美國食品藥物管理署 FDA 指出這是產業生態中的青黃不接,並表示會確保這些裝置及病患的生活品質受到妥善保護。

而 Medtronic 則回應一開始是將 Whitescope 傳來的潛在漏洞「獨立評估」,且「當下對他們指出的其他漏洞並不知情。」,也強調「Medtronic 總是將產品安全放在第一。」「所有的裝置都有某種程度的風險,而就像官方規範一樣,我們也時時致力為我們提供的產品優勢與風險間找到平衡。」

 

 

相關文章

評論