研究人員仔細分析了四大廠商的心臟起搏器系統(tǒng)，發(fā)現(xiàn)了大量會造成嚴重影響的漏洞。
植入式心臟設(shè)備很多都存在漏洞，這樣的情況已經(jīng)存在很多年了。去年8月，知名做空機構(gòu)渾水資本（Muddy Waters Capital）在MedSec的協(xié)助研究下，發(fā)布報告稱著名醫(yī)療器械公司圣猶達（St. Jude Medical,STJ）生產(chǎn)的多款心臟植入設(shè)備存在多個重大安全漏洞，可導(dǎo)致“致命性”網(wǎng)絡(luò)攻擊，對患者生命安全造成威脅。
由于心臟起搏器直接關(guān)乎患者的生命，廠商更應(yīng)該嚴肅對待其中的安全問題，但研究人員還是在這些產(chǎn)品中發(fā)現(xiàn)大量漏洞。
WhiteScope是一家由Billy Rios創(chuàng)立的公司，Billy Rios是第一個分析醫(yī)療設(shè)備的研究人員。WhiteScope最近發(fā)表了一份報告，分析了植入性心臟設(shè)備的生態(tài)環(huán)境架構(gòu)和依賴性，分析主要關(guān)注了心臟起搏器。
多種設(shè)備存在安全問題
分析涉及的設(shè)備包括四家廠商的家用監(jiān)控系統(tǒng)，植入設(shè)備、起搏器編程器和病患支持網(wǎng)絡(luò)。研究人員調(diào)查了每種設(shè)備的類型和設(shè)備之間的通信。
調(diào)查中所使用的設(shè)備購自eBay，研究發(fā)現(xiàn)許多產(chǎn)品都采用商業(yè)現(xiàn)成的微處理器，逆向工程很容易進行。

對于家用監(jiān)控設(shè)備，研究人員發(fā)現(xiàn)網(wǎng)上能夠很容易找到數(shù)據(jù)表，黑客可以知道監(jiān)控設(shè)備如何工作以及怎么操控他們。由于沒有進行打包、混淆和加密，固件的逆向工程也是非常容易。
植入設(shè)備中的調(diào)試功能同樣會暴露固件的信息。惡意攻擊者可能會利用這些功能獲得入侵一些設(shè)備的權(quán)限，包括家用監(jiān)控系統(tǒng)和醫(yī)生用來對起搏器進行診斷和編程的起搏器編程器。
除此之外，WhiteScope在分析了四個起搏器編程器后發(fā)現(xiàn)，他們使用了超過300個第三方庫。這些庫中的174個存在總共超過8000個漏洞。
四大廠商無一幸存
“盡管FDA在強調(diào)網(wǎng)絡(luò)安全更新上做出了諸多努力，但我們檢查的編程器中仍然存在一些含有已知漏洞的過時軟件，”Rios在博文中說“我們相信這個統(tǒng)計會顯示心臟起搏器的生態(tài)系統(tǒng)在確保使用軟件最新版本的方面存在問題。沒有一個廠商在更新軟件方面有特別突出的表現(xiàn)。”
研究人員還發(fā)現(xiàn)編程器中存儲著一些未經(jīng)加密的病人數(shù)據(jù)，包括社保卡號、名字、手機號碼和醫(yī)療信息。而這些編程器基本上都會用到可移動磁盤，黑客就可以加載磁盤，然后拷走整個文件系統(tǒng)。

文件系統(tǒng)沒有經(jīng)過加密
另外一個潛在的問題是，編程器不需要任何方式的驗證就能夠?qū)χ踩胄呐K設(shè)備進行編程。
研究人員在家用監(jiān)控系統(tǒng)中也發(fā)現(xiàn)了一些漏洞，包括：設(shè)備無法把固件映射到受保護的內(nèi)存中、固件更新沒有數(shù)字簽名也沒有對中間人攻擊進行防范、設(shè)備中存在硬編碼的密碼、不安全的外接USB設(shè)備連接、使用了通用的驗證token匹配植入設(shè)備。
WhiteScope的報告中并沒有提及具體廠商名稱以及漏洞的細節(jié)，不過具體漏洞已經(jīng)被報告給ICS-CERT，廠商應(yīng)該已經(jīng)收到了警告。