美敦力的植入式除颤器容易受到威胁生命的黑客攻击
发布时间:2022-11-21 06:27:43 316
相关标签: # 研究# 技术# 监控# 设备# 缺陷

虽然该设备的设计目的是防止猝死,但世界上最大的医疗设备公司之一生产的几款植入式心脏除颤器美敦力已发现存在两个严重漏洞。
“成功利用这些漏洞可能会使攻击者能够对其中一个受影响的产品进行近距离访问,从而干扰、生成、修改或拦截射频(RF)“美敦力专有Conexus遥测系统的通信,可能会影响产品功能和/或允许访问传输的敏感数据,”国土安全部发布的公告警告说。
这些漏洞存在于Conexus射频遥测协议,一些美敦力除颤器及其控制装置使用的无线通信系统,通过无线电波通过空中与植入设备进行无线连接。
缺陷1:美敦力植入式除颤器缺乏认证
根据Medtronic发布的一份公告[PDF],这些缺陷影响了20多种产品,其中16种是植入式除颤器,其余是除颤器的床边监护仪和程序员。两者中更关键的缺陷是CVE-2019-6538,这是因为Conexus遥测协议不包括任何数据篡改检查,也不执行任何形式的认证或授权。
DHS说:“这种通信协议能够读取和写入受影响的植入心脏设备的内存值;因此,攻击者可以利用这种通信协议来更改植入心脏设备中的内存”。
然而,美敦力表示,这些漏洞将很难利用并伤害患者,因为它需要满足以下条件:
Medtronic还指出,其植入式心脏起搏器系列,包括具有蓝牙无线功能的起搏器,以及一些医院和诊所使用的CareLink Express显示器和CareLink Encore程序员(型号29901),不易受到这些缺陷的影响。
美敦力已经对受影响的植入心脏设备滥用Conexus协议的情况进行了额外的监控和响应,并正在努力解决报告的漏洞。
该安全修复程序将很快面世,与此同时,美敦力敦促“患者和医生继续按照规定和预期使用这些设备”。
缺陷2:美敦力植入式除颤器缺乏加密
Conexus遥测协议也不提供加密来保护遥测通信,使得范围内的攻击者可以窃听通信。该问题已分配给CVE-2019-6540。然而,美敦力表示,这些漏洞将很难利用并伤害患者,因为它需要满足以下条件:
- 未经授权的个人需要离目标设备或诊所程序员近6米(20英尺)。
- Conexus遥测必须由与患者在同一房间的医疗专业人员激活。
- 医院外设备的激活时间有限,不同患者的激活时间不同,未经授权的用户很难预测。
Medtronic还指出,其植入式心脏起搏器系列,包括具有蓝牙无线功能的起搏器,以及一些医院和诊所使用的CareLink Express显示器和CareLink Encore程序员(型号29901),不易受到这些缺陷的影响。
美敦力已经对受影响的植入心脏设备滥用Conexus协议的情况进行了额外的监控和响应,并正在努力解决报告的漏洞。
该安全修复程序将很快面世,与此同时,美敦力敦促“患者和医生继续按照规定和预期使用这些设备”。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报