圖片來源: 

WhiteScope

物聯網(IoT)時代還沒完全來臨,但連帶的資安問題卻早已浮現,有研究發現,市面上普遍採用、來自4家廠商的7種心律調節器(起搏器)與其周邊系統,就被發現合計超過8000種已知的資安漏洞,可能危及使用者的性命安全。
 
資安公司WhiteScope本週公布一份研究報告,指出安裝在人體的心律調節器,以及搭配使用的家用監控器、醫院與病人家中聯節的網路、用來設計控制指令的專用程式編輯器等,由於不少採用老舊的資訊架構,4家業者的產品,分別包含642個到3715個已知的安全漏洞,凸顯醫療設備軟體安全漏洞的嚴重性。
 
這些心律調節器的專用程式編輯器,都採用了未加密的儲存媒體,如IDE硬碟或PCMICA快閃儲存,值得注意的是,多半都使用非常老舊的作業系統,包括Windows XP、MonteVista一類的即時作業系統(RTOS),甚至DOS與OS2,都仍被這些編輯器採用。
 
編輯器本身都缺乏任何密碼保護,開機便可直接進入程式編輯軟體,只要完成連線,編輯器即可調整同廠牌心律調節器的程式,影響其運作方式。
 
WhiteScope研究人員直言,該研究凸顯出心律調節器廠商在確保系統不受軟體臭蟲、漏洞影響這件事上,面臨極大的挑戰。他們強調,該研究的目的不是在挑起情緒性恐慌,而是希望整個產業能夠努力改善這些可能導致系統遭利用的弱點,以保護病患健康。
 
該研究報告已經送交美國國土安全部與相關的醫療廠商。這份報告在全球不少醫療機構遭受WannaCry勒索蠕蟲攻擊後公布,也挑起外界對現有醫療產業在資訊安全防護可能做得不夠的質疑。

 

熱門新聞

Advertisement