这5个漏洞，让医院用TUG自动机器人有被远程控制的风险

TUG 是 Aethon 为医院设计的自动机器人。近日，医疗物联网安全公司 Cynerio 的研究人员发现了TUG自动机器人的5个安全漏洞，黑客可能会利用这些漏洞可以远程劫持和控制这些自动行驶的机器人，进行一些恶意活动。

TUG 自动机器人的用处

TUG 自动机器人使用内置地图和传感器导航医院大厅，并通过Wi-Fi 与电梯、火警和自动门通信。这些机器人可以在医院内运送药物、食物、床单、药品和实验室标本，减少劳动力成本。

JekyllBot:5漏洞存在的安全隐患

Cynerio将这5个漏洞称为JekyllBot:5，漏洞并不在机器人本身，而是在用于与医院和酒店走廊上的机器人通信和控制的基础服务器。这些漏洞包括允许黑客创建具有高级权限的新用户，然后登录并远程控制机器人和进入限制区域，使用机器人内置的摄像头窥探病人或客人，或以其他方式造成混乱。

基础服务器有一个网络界面，可以从医院的网络内部访问，”客人”用户不需要密码，可以查看实时的机器人摄像机画面以及他们即将到来的日程安排和当天的任务。但是，尽管机器人的功能受到”管理员”账户的保护，研究人员说，网络界面漏洞可能允许黑客与机器人互动，而不需要管理员密码来登录。

此外，这5个漏洞中的一个暴露了机器人使用网络界面中的操纵杆式控制器进行远程控制，而利用另一个漏洞可以与门锁互动，呼叫和乘坐电梯，以及打开和关闭药物抽屉。在大多数情况下，如果对机器人基础服务器的访问被限制在本地网络内，只限制登录的员工访问，那么潜在的风险是有限的。

但是对于医院使用这些机器人来说，风险就很大。因为这些机器人的基础服务器连接到互联网，有互联网的任何地方都可以触发这些漏洞。

此外，安全研究人员展示了一些利用JekyllBot:5漏洞相关的攻击场景，攻击者可以劫持机器人，将机器人撞到人和物体上，用它们骚扰患者和工作人员。干扰关键病人的药物递送，违反HIPAA访问病人的医疗记录，等等。

据了解，Aethon公司在全球数百家医院兜售其机器人，其中大部分在美国，大约有数千台机器人。如果这些机器人被黑客控制，就会造成很大的安全隐患，那后果不堪设想。

医疗物联网安全公司 Cynerio发现漏洞后，立即向Aethon 披露了这些问题。据悉，Aethon公司已经发布了固件更新修复了这些漏洞。