美國和比利時研究人員通過聯合研究發現,黑客入侵植入式醫學器械(Implantable Medical Device,IMD)輕而易舉。這項研究記錄在標題為“最新一代植入式心臟除顫器(ICD)安全以及如何保護安全”的論文中。
IMD的好處不容忽視,但同時據稱,IMD是非常脆弱的設備,網絡罪犯要入侵這樣的設備不是難事,甚至不需要先進的社交工程技能就能實現入侵。一旦攻擊者控制了設備,就能實施各種毀滅性行為,例如害死病患。而這些行為只需要動動手指按下按鈕便可完成。
研究人員發現,這些心臟設備完全依賴專用無線通信系統。大多數情況下,這種通信系統利用遠程射頻通道,而攻擊者/網絡罪犯不需要太接近設備,便能輕易黑進該通道。當攻擊者攔截IMD和顯示器之間的連接時,他們能發起各種攻擊,包括DDoS攻擊或反向工程。
網絡罪犯通過劫持IMD控制設備并攻擊設備的安全系統。這個問題暗示像物聯網和IMD這類使用無線網絡通信的智能設備完全不可靠,因為“菜鳥級”黑客都能輕易入侵。
當談及這些設備可用來實施哪類攻擊,以及這類設備的安全性能有多差時,安全研究人員表示:
“我們想強調的是,僅通過‘黑盒’方法便能實現反向工程。我們的研究結果表明,含糊的安全性是一種危險的設計方法,經常隱藏設計疏忽。我們研究所進行的第一次攻擊包括,通過在遠程通信通道上多次發送消息使ICD處于待機時仍運行。這種攻擊旨在消耗ICD的電池壽命,或放大時間窗口發送必要惡意軟件信息,影響病患安全。”研究人員建議緩解此類威脅,明智的做法是干擾信號。然而,這只是短期的補救措施。為了使用更強大的安全系統,研究人員建議不通信時啟用待機模式。
這不是研究人員首次證明,救生醫療設備可能會危及病患生命。2015年,黑客控制藥泵,遠程傳送致命劑量藥物給病患。
兩個月前,研究人員發布視頻演示,美國強生公司的胰島素泵容易遭受網絡攻擊。我們只能希望專家能學習這份研究并修復漏洞。
京公網安備 11010502049343號