返回

美敦力的植入式除颤器容易受到威胁生命的黑客攻击

发布时间:2022-11-21 06:27:43 316
# 研究# 技术# 监控# 设备# 缺陷
hacking medtronic implantable defibrillators
美国国土安全部(U.S.Department of Homeland Security)周四发布了一份警告,警告人们十几个心脏除颤器存在严重漏洞,攻击者可以远程完全劫持这些心脏除颤器,可能会危及数百万患者的生命。

虽然该设备的设计目的是防止猝死,但世界上最大的医疗设备公司之一生产的几款植入式心脏除颤器美敦力已发现存在两个严重漏洞。
 
由安全公司Intelligent security的研究人员发现,这些漏洞可能会让掌握医疗设备知识的威胁参与者拦截并可能影响这些救生设备的功能。
 
“成功利用这些漏洞可能会使攻击者能够对其中一个受影响的产品进行近距离访问,从而干扰、生成、修改或拦截射频(RF)“美敦力专有Conexus遥测系统的通信,可能会影响产品功能和/或允许访问传输的敏感数据,”国土安全部发布的公告警告说。

这些漏洞存在于Conexus射频遥测协议,一些美敦力除颤器及其控制装置使用的无线通信系统,通过无线电波通过空中与植入设备进行无线连接。

缺陷1:美敦力植入式除颤器缺乏认证

根据Medtronic发布的一份公告[PDF],这些缺陷影响了20多种产品,其中16种是植入式除颤器,其余是除颤器的床边监护仪和程序员。

两者中更关键的缺陷是CVE-2019-6538,这是因为Conexus遥测协议不包括任何数据篡改检查,也不执行任何形式的认证或授权。
 
成功利用此漏洞可使攻击者在受影响设备和正确无线电设备的无线电范围内拦截、欺骗或修改设备及其控制器之间的数据传输,这可能会伤害甚至杀死患者。
 
DHS说:“这种通信协议能够读取和写入受影响的植入心脏设备的内存值;因此,攻击者可以利用这种通信协议来更改植入心脏设备中的内存”。

缺陷2:美敦力植入式除颤器缺乏加密

Conexus遥测协议也不提供加密来保护遥测通信,使得范围内的攻击者可以窃听通信。该问题已分配给CVE-2019-6540。

然而,美敦力表示,这些漏洞将很难利用并伤害患者,因为它需要满足以下条件:
  • 未经授权的个人需要离目标设备或诊所程序员近6米(20英尺)。
  • Conexus遥测必须由与患者在同一房间的医疗专业人员激活。
  • 医院外设备的激活时间有限,不同患者的激活时间不同,未经授权的用户很难预测。
这家医疗技术巨头还向其用户保证,“迄今为止,尚未发现网络攻击或患者伤害与这些漏洞有关”。

Medtronic还指出,其植入式心脏起搏器系列,包括具有蓝牙无线功能的起搏器,以及一些医院和诊所使用的CareLink Express显示器和CareLink Encore程序员(型号29901),不易受到这些缺陷的影响。

美敦力已经对受影响的植入心脏设备滥用Conexus协议的情况进行了额外的监控和响应,并正在努力解决报告的漏洞。

该安全修复程序将很快面世,与此同时,美敦力敦促“患者和医生继续按照规定和预期使用这些设备”。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线