起搏器中发现8600多个漏洞

如果你想活下去，就付赎金，否则就死“这可能会发生，因为研究人员已经在起搏器中发现了数千个黑客可以利用的漏洞。

数以百万计依靠心脏起搏器保持心脏跳动的人面临着软件故障和黑客的风险，最终可能会夺去他们的生命。

心脏起搏器是一种小型电池驱动装置，通过外科手术植入胸部，帮助控制心跳。该设备使用低能电脉冲刺激心脏以正常频率跳动。

虽然网络安全公司不断改进软件和安全系统，以保护系统免受黑客攻击，但胰岛素泵或心脏起搏器等医疗设备也容易受到威胁生命的黑客攻击。
在最近的一项研究中，安全公司White Scope的研究人员分析了来自四家不同供应商的七款起搏器产品，发现它们使用了300多个第三方库，其中174个库已知有8600多个漏洞，黑客可以利用起搏器程序员的漏洞进行攻击。

研究人员在一篇关于该研究的博客文章中写道：“尽管FDA努力简化常规网络安全更新，但我们检查的所有程序员都有已知漏洞的过时软件”。

“我们认为，这一统计数据表明，起搏器生态系统在保持系统最新方面存在一些严重挑战。与竞争对手相比，没有哪个供应商的更新情况更好/更差”。

White Scope分析涵盖了植入式心脏设备、家庭监控设备、起搏器程序员，以及通过互联网将患者重要数据发送给医生进行检查的基于云的系统。
安全公司检查的所有程序员都有过时的软件，存在已知的漏洞，其中许多软件运行的是Windows XP。

还有什么更可怕？研究人员发现，起搏器设备不会对这些程序员进行身份验证，这意味着任何人如果接触到外部监测设备，都可能对心脏病患者造成伤害，而植入的起搏器可能会伤害或杀死他们。

研究人员的另一个令人不安的发现是起搏器程序员的分布。

虽然起搏器编程人员的分布应该由起搏器设备制造商小心控制，但研究人员购买了他们在eBay上测试的所有设备。
因此，eBay上出售的任何工作工具都有可能对植入物患者造成伤害。

研究人员说：“所有制造商的设备都可以在拍卖网站上找到”。“程序员的价格从500美元到3000美元不等，家庭监控设备的价格从15美元到300美元不等，起搏器设备的价格从200美元到3000美元不等”。

另外？在某些情况下，研究人员发现起搏器编程器上存储的未加密患者数据，包括姓名、电话号码、医疗信息和社会安全号码（SSN），这些数据为黑客窃取留下了很大的空间。

在起搏器系统中发现的另一个问题是缺乏最基本的身份验证过程：登录名和密码，允许医生验证程序员或心脏植入设备，甚至无需输入密码。

这意味着设备或系统范围内的任何人都可以使用同一制造商的程序员更改患者的起搏器设置。

约翰·霍普金斯大学计算机科学助理教授马修·格林在推特上指出，医生不愿意让安全系统阻碍病人的护理。换句话说，在紧急情况下，医护人员不应该被迫凭证件登录。

格林说：“如果你要求医生用密码登录设备，你最终会在设备上看到一张列有密码的便条”。

研究人员在四家供应商生产的设备中发现的安全漏洞包括硬编码凭据、不安全的外部USB连接、无法将固件映射到受保护的内存、缺少加密的起搏器固件更新，以及使用通用身份验证令牌与植入设备配对。

White Scope已经联系了国土安全部的工业控制系统网络应急响应团队（ICS-CERT），因此测试设备的制造商可以解决缺陷。