互聯世界的壓力變得越來越大。安全研究員比利·裡奧斯剛剛發現,可以遠端連接到醫療輸液系統,隨意修改其軟體程式碼,並在必要時讓設備管理既沒有見過也沒有經歷過對患者致命的劑量。
這怎麼可能?研究人員剖析了美國製造商 Hospira 的五種輸液系統模型。這些小盒子允許半自動給藥,並具有防止超過劑量的安全機制。這些盒子配備了通訊模組,連接到醫院的電腦網絡,使醫務人員能夠定期更新所用藥物的治療數據(濃度、最大劑量、給藥持續時間等)。問題在於通訊模組也直接連接到韌體所在的設備主機板。
然而,比利·裡奧斯表示,通訊模組中的一個缺陷將允許遠端存取該卡並隨意修改韌體。事實上,該設備沒有任何身份驗證機制,允許其拒絕載入非合法軟體。因此,存取醫院網路就足以破解這些系統,例如修改灌注限制閾值或停用警報系統。“如果你可以更新主機板上的固件,你就可以用這個泵做任何你想做的事”,他強調有線。這不是一個非常令人鼓舞的前景。
研究人員聯繫了製造商 Hospira,他們否認了一切,並認為不可能進行這樣的駭客攻擊。下個月,Billy Rios 計劃在 SummerCon 會議上進行演示。真理的時刻就會來臨。
資料來源:
