骇到真要命! 研究：心律调节器藏有超过8000个已知漏洞

WhiteScope

物联网(IoT)时代还没完全来临，但连带的资安问题却早已浮现，有研究发现，市面上普遍採用、来自4家厂商的7种心律调节器(起搏器)与其周边系统，就被发现合计超过8000种已知的资安漏洞，可能危及使用者的性命安全。
 
资安公司WhiteScope本週公布一份研究报告，指出安装在人体的心律调节器，以及搭配使用的家用监控器、医院与病人家中联节的网路、用来设计控制指令的专用程式编辑器等，由于不少採用老旧的资讯架构，4家业者的产品，分别包含642个到3715个已知的安全漏洞，凸显医疗设备软体安全漏洞的严重性。
 
这些心律调节器的专用程式编辑器，都採用了未加密的储存媒体，如IDE硬碟或PCMICA快闪储存，值得注意的是，多半都使用非常老旧的作业系统，包括Windows XP、MonteVista一类的即时作业系统(RTOS)，甚至DOS与OS2，都仍被这些编辑器採用。
 
编辑器本身都缺乏任何密码保护，开机便可直接进入程式编辑软体，只要完成连线，编辑器即可调整同厂牌心律调节器的程式，影响其运作方式。
 
WhiteScope研究人员直言，该研究凸显出心律调节器厂商在确保系统不受软体臭虫、漏洞影响这件事上，面临极大的挑战。他们强调，该研究的目的不是在挑起情绪性恐慌，而是希望整个产业能够努力改善这些可能导致系统遭利用的弱点，以保护病患健康。
 
该研究报告已经送交美国国土安全部与相关的医疗厂商。这份报告在全球不少医疗机构遭受WannaCry勒索蠕虫攻击后公布，也挑起外界对现有医疗产业在资讯安全防护可能做得不够的质疑。