推廣 | 令人窒息的獎品等你―2016最權威的全球開發者調研

美國和比利時研究人員通過聯合研究發現，黑客入侵植入式醫學器械(Implantable Medical Device，IMD)輕而易舉。這項研究記錄在標題為“最新一代植入式心臟除顫器(ICD)安全以及如何保護安全”的論文中。

IMD的好處不容忽視，但同時據稱，IMD是非常脆弱的設備，網絡罪犯要入侵這樣的設備不是難事，甚至不需要先進的社交工程技能就能實現入侵。一旦攻擊者控制了設備，就能實施各種毀滅性行為，例如害死病患。而這些行為只需要動動手指按下按鈕便可完成。

研究人員發現，這些心臟設備完全依賴專用無線通信系統。大多數情況下，這種通信系統利用遠程射頻通道，而攻擊者/網絡罪犯不需要太接近設備，便能輕易黑進該通道。當攻擊者攔截IMD和顯示器之間的連接時，他們能發起各種攻擊，包括DDoS攻擊或反向工程。

網絡罪犯通過劫持IMD控制設備并攻擊設備的安全系統。這個問題暗示像物聯網和IMD這類使用無線網絡通信的智能設備完全不可靠，因為“菜鳥級”黑客都能輕易入侵。

當談及這些設備可用來實施哪類攻擊，以及這類設備的安全性能有多差時，安全研究人員表示：

“我們想強調的是，僅通過‘黑盒’方法便能實現反向工程。我們的研究結果表明，含糊的安全性是一種危險的設計方法，經常隱藏設計疏忽。我們研究所進行的第一次攻擊包括，通過在遠程通信通道上多次發送消息使ICD處于待機時仍運行。這種攻擊旨在消耗ICD的電池壽命，或放大時間窗口發送必要惡意軟件信息，影響病患安全。”研究人員建議緩解此類威脅，明智的做法是干擾信號。然而，這只是短期的補救措施。為了使用更強大的安全系統，研究人員建議不通信時啟用待機模式。

這不是研究人員首次證明，救生醫療設備可能會危及病患生命。2015年，黑客控制藥泵，遠程傳送致命劑量藥物給病患。

兩個月前，研究人員發布視頻演示，美國強生公司的胰島素泵容易遭受網絡攻擊。我們只能希望專家能學習這份研究并修復漏洞。

【編輯推薦】