据MedSec发布的一篇报告,圣犹达产品缺乏合理的加密和验证措施,可以导致心脏设备故障或快速消耗其电池电量。报告分析了4家主流厂商的医疗产品,披露圣犹达产品(包括可植入心脏设备和Merlin@home发射机)是最不安全的。MedSec声称已经开发出概念验证级别的漏洞利用程序。
MedSec是干什么的?
MedSec是一家专注于医疗设备的网络安全创业公司。
MedSec报告指出 圣犹达心脏起搏器存在漏洞 给用户生存带来风险
根据私人股权公司Muddy Waters Capital在MedSec医疗研究人员协助下发布的一份报告,圣犹达医疗公司(St. Jude Medical)制造的数万台心脏医疗设备很容易受到黑客攻击,而黑客几乎不费吹灰之力。
报告中称,重大安全漏洞在圣犹达的整个产品系列中随处可见,并且与该公司的Merlin@home家庭监控装置相关。据周四发布的报告称,该监控装置“极大程度地向网络攻击开放了圣犹达的生态系统”。
报告作者写道:“这些装置(Merlin@home)在Ebay上随处可得,售价一般不超过35美元。Merlin@home缺乏哪怕是最基本的安全措施,且如报告所述,可在圣犹达心脏医疗设备技术堆栈的每一个层级被利用。”
MedSec调查了圣犹达的心脏医疗设备,包括起搏器、植入式除颤器和再同步化治疗设备。调查得出的结论是,这些设备都易受攻击,导致设备故障、消耗救生设备电池的电量、或者将依赖设备生存的用户置于设备故障的风险中。
MedSec的总监和CEO Justine Bone在一份事先准备好的声明中写道:“我们对整个医疗设备行业进行了超过18个月的深入调查。相较于其他医疗设备制造商,圣犹达的漏洞让我们感到震惊。”
负责管理医疗设备的美国食品和药品管理局拒绝对MedSec和Muddy Waters公布的报告进行评论。
心脏起搏器缺少安全机制 攻击者可以轻松获得Root权限 让心脏起搏器高频工作
声明称,黑客可以轻松地对圣犹达医疗生态系统的通信协议和模拟部件进行逆向工程,操纵该公司的心脏医疗设备。声明中批评了这家医疗设备制造商设备认证薄弱,缺少加密软件和代码,没有防篡改机制。
MedSec报告了另一个造成安全问题的例子:Merlin@home装置与植入设备交互的50英尺射频范围。声明称,该范围应该缩小到英寸级,而不是英尺级。这样,黑客攻击时只能当面进行,而不是躲得远远的难以发现。
研究人员称,归功于马虎的安全措施,他们能获得Merlin@home的root权限。这些措施包括证书复用、SSH秘钥分享和静态凭据,允许未认证用户以root用户的权限登录到受影响系统。
研究人员称,有了root权限之后,攻击者可以执行Crash攻击,广播一系列信号使得心脏医疗设备发生故障。Crash攻击可以远程禁用一个心脏医疗设备,并可能使一个植入设备“以危险的频率跳动”。
MedSec还描述了另一类理论上的攻击,称为“电池泄电攻击”。在这种攻击中,黑客利用Merlin@home装置发出信号,更快地消耗心脏医疗设备的电池电量。在攻击测试中,MedSec每24小时消耗一个植入设备约3%的电池电量。
圣犹达驳斥报告观点 否认其产品受严重漏洞影响
圣犹达于本周五在其网站上发布了一份声明,称他们对Muddy Waters和MedSec提出的指控进行了验证,并确认这份报告“不实并且有误导性。”
公司CTO Philip Ebeling发布了一份声明说:“这些绝对是不实指控。我们的产品有好几层安全措施。对于公司所有的产品,特别是Merline@home,我们持续地进行安全评估,并与外部专家有合作。”
这家医疗设备制造商说,他们与第三方专家、研究人员、监管人员和政府机构合作,确保他们的产品有合理的安全机制。
圣犹达在声明里说:“从产品的早期设计到最终发布,并且在随后持续的升级(包括软件升级和安全补丁)中,这些专家一直协助我们设计安全控制措施。我们还定期根据FDA的指导进行风险评估,并请内外部专家进行渗透测试。”
圣犹达还指出,报告所发现的问题只出现于老版本的Merlin@home装置中,安全补丁开发完成之后就会自动发送到这些设备上。值得注意的是,MedSec用来进行分析的是二手的Merlin@home装置。
圣犹达还否认黑客可以从50英尺的距离对植入设备的电池进行放电。据这家厂商所说,心脏医疗设备一旦被植入患者体内之后,无线通信距离只有7英尺。
圣犹达说:“这使Muddy Waters和MedSec报告所使用的整个测试方法受到质疑。另外,报告所描述的场景需要在这个距离内进行几百小时持续的ping操作。简单地说,病人需要连续数天保持不动,且黑客要在病人7英尺范围内。即使这种几率不高的场景发生,当电池电量低于一定水平,植入设备将产生振动告警,以保护和告知病人。
这家医疗设备制造商认为,在描述黑客如何使植入设备崩溃时,这份报告也是前后矛盾的。圣犹达称写报告的研究人员对医疗设备缺乏基本的了解,并且报告中的截图实际上并没有证明系统崩溃。
备受争议的MedSec公司 为什么不将漏洞通知厂商
3个月前,圣犹达医疗设备的潜在漏洞第一次被迈阿密的MedSec公司分享给金融研究公司Muddy Waters。在漏洞公布之前的一年中,MedSec一直在测试医疗设备漏洞。
然后,作为一个有争议的举动,当MedSec发现圣犹达医疗设备有漏洞时,他们首先联系了Muddy Waters,而不是圣犹达。Muddy Waters随后看空圣犹达公司,抨击圣犹达的医疗设备犹如定时炸弹。另外,MedSec公司也在金融上受益于圣犹达公司的股价下跌。
周五,圣犹达公司股价大跌2.5%,导致纳斯达克暂停了圣犹达股票的交易。当天晚些时候,圣犹达股票恢复交易,股价收复失地,收盘价(78.01美元)高于开盘价0.2个百分点。
MedSec公司的CEO Bone在公司网站上发布了一篇声明,写道:
“我们承认,我们偏离网络安全传统的做法会招来批评,但我们相信这是刺激圣犹达采取行动的唯一途径。最重要的是,我们相信现有和潜在的病人都有权利获知他们将面临的风险。消费者应该开始要求这些设备制造商提高透明度,特别是在设备的质量和功能方面。”
圣犹达的股票价格在周四发生跳水,甚至在周五下午暂停了交易。周五晚些时候,圣犹达发布声明驳斥Muddy Water的指控。随后,圣犹达的股票恢复正常交易。
医疗设备的网络安全问题不是科幻片
在美剧《机器之心》(Almost Human)第一季第六集中有这样一个情节:一伙犯罪分子勒索植入人造心脏的病人,威胁说如果不满足他们的要求就可以遥控关停他们的心脏。也许有人觉得这是天马行空的科幻情节,然而实际上它离我们很近。今日,一个由科学家和神经外科医生组成的团队在《世界神经外科》上发表了一篇论文,文中详细阐述了植入式医疗器械被远程控制可能存在的危险性。
到目前为止,出于研究的目的,该团队成功试验了两次远程控制。第一次是2011年,研究员同时也是糖尿病患者Jay Radcliffe设法利用一片廉价的电脑芯片和一台无线电发射机,破解了植入他体内的胰岛素泵。在论文中他称之为“一种潜在的致命攻击”。此后,一个名叫Barnaby Jack的研究员在Jay Radcliffe研究成果的基础上,成功地对胰岛素泵和植入式心脏除颤器进行了远程控制。
在今天的医疗领域,植入式医疗器械已经相当普遍。利用先进的无线通信技术,医生甚至患者本人可以越来越方便地对心脏起搏器和胰岛素泵等植入式医疗器械进行管理和控制,例如在不进行手术的情况下就能调节相关参数,但一如既往的,方便的同时也可能带来潜在的危险。
利用这一技术,可能给许多罪犯打开了方便之门。论文中写到:攻击者可能出于任何目的进行攻击,比如勒索财物、恶意伤害、操纵一位在职官员等等。甚至有些攻击者没有任何目的,比如2008年一名黑客黑掉了一个癫痫病患者的线上交流平台,在网页上放了一张快速频闪的GIF图片,这可能使浏览网页的癫痫病患者立即发病,该行为就没什么特殊目的,仅仅是娱乐罢了。
但真正可怕的是,黑客有可能会控制一个脑部的植入器械,从而完全控制一个人。
在深部脑刺激(DBS)手术中,会在大脑中植入一个神经刺激器(又名“大脑起搏器”),然后,该“大脑起搏器”会发送电子脉冲到病人的大脑皮层,然后进行病理干预。DBS通常用来辅助治疗如帕金森病和慢性疼痛等疾病,同时也被用于一些心理疾病的治疗,如抑郁症和强迫症等。如果类似的脑部植入器械也被黑客破解,那么攻击者将直接控制病人的大脑。
文中写到:一旦攻击者成功破解了植入设备,他们可以通过改变电压、电流、频率、脉冲宽度甚至电极连接等电气特性,给予受害者各种各样的折磨。这些攻击也许不会致命,但能够造成严重的伤害和痛苦。
总体上一共有两种方式的远程攻击:一种是简单的关闭电源。另一种是不断地远程控制该植入器械,通过特定的操作耗光电量,迫使患者频繁进行手术来更换电池。显然后者要来得更残忍。
目前为止,要进行针对性地攻击还是非常困难的,因为黑客需要了解该病人的健康状况,并经常接入该植入体内的器械。然而,随着移动互联网技术的不断发展,黑客们未来完全有可能突破这一限制。研究人员表示:“针对性的攻击,一般包括运动机能的损伤,心律的恶意调节,消极情绪引导,强烈的疼痛,和身体反馈机制的不利反馈等。”
只要攻击者能连接到病人体内的“大脑起搏器”,下面这些攻击都是可以真实做到的。例如引发狂躁、性欲亢进、甚至病态赌博心理等。医生可以通过控制“大脑起搏器”改变病人的情绪,例如接受了DBS疗法的患者可能经历过病理性哭泣、怪异的笑声、强烈的恐惧和紧张等,这些可能都是因为医生一时弄错了脑区。
关于这个问题,最好的答案就是强化器械的安全性。美国食品药品监督管理局已经就黑客攻击某些植入式药物泵发出了警告,甚至美国国土安全部也发布告警称应尽量避免使用硬编码(不可变更的)的医疗器械密码。然而,真正的安全应该来自器械制造商和设计者,因为只有他们才能从根本上减轻某些攻击的后果。例如使用可充电的植入式医疗器械就是一个很好的例子,因为可充电性可以防止上文提及的耗电式攻击。
一直以来,安全性和便捷性都是一个两难。例如为了增加安全性,可以选择在植入式医疗器械外加上一层保护壳/套,但这有可能使得治疗对病人来说变成一种负担,引起病人的不适和反感,甚至完全拒绝治疗。
用手机App控制医疗设备还需要谨慎
最近的一些升级方案,比如通过手机App远程控制一些植入式器械,看起来很方便,但未来也许会引发很严重的问题。现在的智能手机设计正在变得越来越完善,例如,苹果可以强制拒绝未经授权的设备访问。这一点很重要,因为手机存储了大量的私人信息,一旦被黑客破解,获取了隐私,用户总不能每次都跳楼自杀。
作为医疗器械,至少应该具备像iPhone一样的安全性,然而现在的科技公司,甚至医疗器械制造商,他们在设计产品时并不会优先考虑安全性,反而更多的去考虑功能性和易用性。要知道,作为普通消费者,安全才是第一位的。