智能≠安全:智能输液泵漏洞可被黑客全面控制
卡巴斯基安全实验室日前分享了一篇文章,文章称Hospira公司旗下生产的智能输液泵含有安全隐患,直接可被黑客全面控制。
这些输液泵是智能和联网医疗设备新浪潮的代表产品,正如我们之前所写到的,智能医疗设备能从根本上消除需要慢性给药人为失误方面的风险。
不幸的是,许多开发这些智能医疗设备的公司依然对网络安全性问题熟视无睹。
Hospira生产的Lifecare PCA输液泵的漏洞之多,连安全研究人员Jeremy Richards都表示这是他有史以来看到过的安全性最低的PI启用设备。
Richards表示远程攻击者能够让受影响设备完全陷入瘫痪,而且所采用的程序几乎人人皆知。
“除了易遭网络攻击以外,” Richards写道,”其糟糕的编程使得只要输错一次就会让设备陷入瘫痪。”
他宣称一些潜在的网络攻击者还可能会更新设备软件、运行命令甚至篡改特定药物数据库,而印在药瓶上含有剂量和其它信息的条形码始终与数据库数据保持同步。
尽管早在一年以前Rios就向ICS-CERT(赛博应急响应小组)透露了他的研究,但从未向公众公开,Richards则在上周公开这一研究。
Rios因 Richards公开了他的研究发现而特地在特地向他表示了感谢。
更令人担忧的是,这些Hospira生产的智能医疗设备以纯文本形式保存网络Wi-Fi保护访问(WPA)密钥。
一旦网络攻击者能够窃取其中一个WPA密钥,这将造成同一网络内的所有其它设备遭受监视并可能发生大量其他网络攻击。
而一旦医院没有在将这些停用设备报废或重新出售之前清除网络密钥的话,这些密钥很可能将落入不法分子手中。
更简单地说,这些设备含有一个暴露的以太网端口,只需使用自动黑客工具就能简单和快速地实施本地攻击。
目前还不清楚Hospria是否打算修复这些漏洞。