我们可能都听过骇人的心脏起搏器恐怖故事:可以直接植入心脏起搏器的恶意软件,黑客远程控制设备以及美国前副总统迪克·切尼(Dick Cheney)禁用了心脏起搏器中的无线功能,以防止外国特工转动拨号盘。上下,将切尼送上坟墓。  

显然这是一个严重的问题。在美国,食品和药物管理局(FDA)召回了将近50万个起搏器,原因是担心它们可能会被黑客窃取以耗尽电池电量甚至改变患者的心跳速率。

这些设备的漏洞肯定会加重安全研究人员的负担。这些人在搜索各种设备中的漏洞方面做着重要工作,突出制造商的缺陷并在博客文章中详细介绍了他们的发现。

起搏器中的漏洞最早是在十年前出现的,从那时起,不断的发现一直是相当一致的。这些漏洞往往会在设备协议中发现,例如部署功能以认证和控制设备传感器中的访问,以及设置密钥以保护通过无线网络传输的数据的机密性。

但是实际上,对您的起搏器进行攻击的可能性是多少?

  • 可以肯定的是,当今大多数植入式设备现在都可以进行无线通信。此外,即将到来的医疗物联网(IoT)带来了各种可穿戴设备,以保持医疗保健提供者和患者之间的联系。
  • 某些设备不需要任何身份验证,数据也不会加密。任何有足够动力的人都可以更改植入物中的数据,从而有可能以危险甚至致命的方式修改其行为。
  • 除起搏器外,潜在的易受攻击的设备还包括植入式心脏复律除颤器和输液泵。
  • 但是,黑客无法从某个远程位置访问植入的起搏器。要破解这些设备之一,必须在与受害者紧密物理距离附近(在蓝牙范围内)进行攻击,并且仅在该设备连接到互联网以发送和接收数据时才能进行。
  • 尽管安全研究人员发现了缺陷,但迄今为止,尚未有关于对植入设备进行黑客攻击或野外发现攻击的报道。

里面没有钱

  • 网络罪犯没有动机去破坏起搏器。通过勒索医疗服务器并用勒索软件将患者记录作为人质可以赚钱,因为这些都是低复杂度的攻击,回报率很高。
  • 医院是黑客的主要攻击目标,如果您被捕,则禁用服务器不会带来谋杀罪。入侵植入的医疗设备是非常不同的事情。
  • 入侵植入的医疗设备非常复杂且技术含量很高,需要深入的知识和奉献精神。

医疗行业正在追赶

设备制造商在历史上并未开发出具有安全性的产品。过去,为了篡改起搏器,您必须进行手术。 

因此,围绕无线医疗设备快速发展的生态系统给行业带来了新的安全压力,而该行业以前从未考虑过这些问题。当然,随着连接性的增长,医疗行业越来越意识到安全问题。

然而,尽管可能性不大,但风险是真实存在的,这可能只是时间问题,直到高价值目标成为外国情报部门实施的真实世界攻击的受害者为止。

来源: //www.bullguard.com/blog/2019/08/is-your-pacemaker-really-likely-to-be-hacked