信息來源：hackernews

據(jù)外媒 26 日報(bào)道，安全研究人員在本周發(fā)表的一份研究報(bào)告中指出困擾領(lǐng)先起搏器生產(chǎn)廠商的一系列網(wǎng)絡(luò)安全問題，主要包括缺乏身份驗(yàn)證與加密功能、第三方軟件庫遭受成千上萬漏洞攻擊等，使起搏器再度成為醫(yī)療器械安全領(lǐng)域的熱議話題。

起搏器是用于調(diào)節(jié)異常心律的植入式心臟裝置，大多數(shù)可由醫(yī)師與技術(shù)人員在設(shè)備附近或遠(yuǎn)程更新。WhiteScope IO 研究人員 Billy Rios 與 Jonathan Butts 針對四家廠商生產(chǎn)的起搏器程控儀（ 臨床設(shè)置中用于監(jiān)測可植入裝置工作原理與設(shè)置治療參數(shù)的裝置 ）進(jìn)行了射頻通信檢測。

檢測結(jié)果表明，為植入體提供支持的基礎(chǔ)設(shè)施普遍存在嚴(yán)重安全漏洞，患者護(hù)理與網(wǎng)絡(luò)安全之間的斗爭相持不下。此外，所有心臟起搏器系統(tǒng)在可移動(dòng)媒介上均存在未加密文件系統(tǒng)。就軟件而言，Rios 與 Butts 在現(xiàn)有廠商生產(chǎn)的程控儀第三方庫中發(fā)現(xiàn) 8,000 多個(gè)已知漏洞。由于醫(yī)療機(jī)構(gòu)將未加密數(shù)據(jù)（社會(huì)保障卡號與病歷等）存儲在程控儀中，因此部分設(shè)備不僅存在患者私人信息被竊取的風(fēng)險(xiǎn)，還具有侵犯患者隱私之嫌。

安全專家表示，縱觀醫(yī)療設(shè)備現(xiàn)狀，全面修復(fù)更新仍不失為一大挑戰(zhàn)。盡管美國食品藥品監(jiān)督管理局（ FDA ）已經(jīng)努力簡化了網(wǎng)絡(luò)安全更新常規(guī)流程，但檢測結(jié)果仍顯示所有程控儀均與存在已知漏洞的陳舊軟件有關(guān)。

報(bào)告詳細(xì)內(nèi)容見《 Pacemaker Ecosystem Evaluation.pdf 》

原作者：Michael Mimoso，譯者：青楚，譯審：游弋
本文由 HackerNews.cc 翻譯整理，封面來源于網(wǎng)絡(luò)。
轉(zhuǎn)載請注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接