研究人員仔細(xì)分析了四大廠商的心臟起搏器系統(tǒng)，發(fā)現(xiàn)了大量會(huì)造成嚴(yán)重影響的漏洞。
植入式心臟設(shè)備很多都存在漏洞，這樣的情況已經(jīng)存在很多年了。去年8月，知名做空機(jī)構(gòu)渾水資本（Muddy Waters Capital）在MedSec的協(xié)助研究下，發(fā)布報(bào)告稱著名醫(yī)療器械公司圣猶達(dá)（St. Jude Medical,STJ）生產(chǎn)的多款心臟植入設(shè)備存在多個(gè)重大安全漏洞，可導(dǎo)致“致命性”網(wǎng)絡(luò)攻擊，對(duì)患者生命安全造成威脅。
由于心臟起搏器直接關(guān)乎患者的生命，廠商更應(yīng)該嚴(yán)肅對(duì)待其中的安全問(wèn)題，但研究人員還是在這些產(chǎn)品中發(fā)現(xiàn)大量漏洞。
WhiteScope是一家由Billy Rios創(chuàng)立的公司，Billy Rios是第一個(gè)分析醫(yī)療設(shè)備的研究人員。WhiteScope最近發(fā)表了一份報(bào)告，分析了植入性心臟設(shè)備的生態(tài)環(huán)境架構(gòu)和依賴性，分析主要關(guān)注了心臟起搏器。
多種設(shè)備存在安全問(wèn)題
分析涉及的設(shè)備包括四家廠商的家用監(jiān)控系統(tǒng)，植入設(shè)備、起搏器編程器和病患支持網(wǎng)絡(luò)。研究人員調(diào)查了每種設(shè)備的類型和設(shè)備之間的通信。
調(diào)查中所使用的設(shè)備購(gòu)自eBay，研究發(fā)現(xiàn)許多產(chǎn)品都采用商業(yè)現(xiàn)成的微處理器，逆向工程很容易進(jìn)行。

對(duì)于家用監(jiān)控設(shè)備，研究人員發(fā)現(xiàn)網(wǎng)上能夠很容易找到數(shù)據(jù)表，黑客可以知道監(jiān)控設(shè)備如何工作以及怎么操控他們。由于沒(méi)有進(jìn)行打包、混淆和加密，固件的逆向工程也是非常容易。
植入設(shè)備中的調(diào)試功能同樣會(huì)暴露固件的信息。惡意攻擊者可能會(huì)利用這些功能獲得入侵一些設(shè)備的權(quán)限，包括家用監(jiān)控系統(tǒng)和醫(yī)生用來(lái)對(duì)起搏器進(jìn)行診斷和編程的起搏器編程器。
除此之外，WhiteScope在分析了四個(gè)起搏器編程器后發(fā)現(xiàn)，他們使用了超過(guò)300個(gè)第三方庫(kù)。這些庫(kù)中的174個(gè)存在總共超過(guò)8000個(gè)漏洞。
四大廠商無(wú)一幸存
“盡管FDA在強(qiáng)調(diào)網(wǎng)絡(luò)安全更新上做出了諸多努力，但我們檢查的編程器中仍然存在一些含有已知漏洞的過(guò)時(shí)軟件，”Rios在博文中說(shuō)“我們相信這個(gè)統(tǒng)計(jì)會(huì)顯示心臟起搏器的生態(tài)系統(tǒng)在確保使用軟件最新版本的方面存在問(wèn)題。沒(méi)有一個(gè)廠商在更新軟件方面有特別突出的表現(xiàn)。”
研究人員還發(fā)現(xiàn)編程器中存儲(chǔ)著一些未經(jīng)加密的病人數(shù)據(jù)，包括社�？ㄌ�(hào)、名字、手機(jī)號(hào)碼和醫(yī)療信息。而這些編程器基本上都會(huì)用到可移動(dòng)磁盤(pán)，黑客就可以加載磁盤(pán)，然后拷走整個(gè)文件系統(tǒng)。

文件系統(tǒng)沒(méi)有經(jīng)過(guò)加密
另外一個(gè)潛在的問(wèn)題是，編程器不需要任何方式的驗(yàn)證就能夠?qū)χ踩胄呐K設(shè)備進(jìn)行編程。
研究人員在家用監(jiān)控系統(tǒng)中也發(fā)現(xiàn)了一些漏洞，包括：設(shè)備無(wú)法把固件映射到受保護(hù)的內(nèi)存中、固件更新沒(méi)有數(shù)字簽名也沒(méi)有對(duì)中間人攻擊進(jìn)行防范、設(shè)備中存在硬編碼的密碼、不安全的外接USB設(shè)備連接、使用了通用的驗(yàn)證token匹配植入設(shè)備。
WhiteScope的報(bào)告中并沒(méi)有提及具體廠商名稱以及漏洞的細(xì)節(jié)，不過(guò)具體漏洞已經(jīng)被報(bào)告給ICS-CERT，廠商應(yīng)該已經(jīng)收到了警告。