可折叠有机电池问世可用于起搏器等人体植入设备
目录:
来自几家制造商的起搏器可能被命令在50英尺以外的笔记本电脑上向某人发送致命的830伏冲击,结果是这些新的研究来自安全厂商IOActive的Barnaby Jack,他对其他医疗设备(如胰岛素输送设备)的分析而闻名。
杰克在Breakpoint安全系统发言周三在墨尔本举行的会议上表示,缺点在于无线发射器的编程,该无线发射器用于给心脏起搏器和植入式心脏复律除颤器(ICD)提供指导,可检测心脏不规则收缩并发送防止心脏病发作的电击
[进一步阅读:如何从Windows PC删除恶意软件]
使用该漏洞的成功攻击“肯定会导致死亡,”杰克说,他已通知制造商在视频演示中,杰克展示了他如何远程导致起搏器突然发出830伏的电击,并且可以听到流畅的声音。无线风险
仅在美国,2006年至2011年间就销售了460万起搏器和ICD。过去,心脏起搏器和ICD由医务人员使用必须穿过安装了其中一个设备的病人几米内的魔杖重新编程。魔杖翻转一个软件开关,允许它接受新的指令。
Barnaby Jack
但现在趋势是无线。现在有几家医疗制造商正在销售替代魔杖的床头变送器,并且无线范围可达30至50英尺。 Jack表示,2006年,美国食品和药物管理局批准全频段植入式设备在400MHz频率范围内工作,Jack说。在这种广泛的传输范围内,对软件的远程攻击变得更加可行,Jack说。在研究了发射器后,Jack发现设备放弃了他们的序列号和型号后,他通过一个特殊的命令无线地联系了他们。
“不难理解,为什么这是一个致命的特征,”杰克说,“他的研究刚刚开始。他表示,FDA只是研究设备的医疗有效性,并不会对设备的代码进行审计。“我的目标是提高对这些潜在恶意攻击的意识,并鼓励制造商采取行动审查设备的安全性。他们的代码,而不仅仅是这些设备的传统安全机制,“Jack说,
数据也很脆弱,也
他还发现设备存在其他问题,例如他们经常包含有关患者的个人数据,例如他们的名字和他们的医生。另外还发现了一些讽刺代码的迹象,例如潜在访问用于开发该软件的远程服务器。“”新实现在很多方面都存在缺陷,“Jack说。 “它确实需要重新设计。”
Jack正在开发“电感”,这是一种具有图形用户界面的应用程序,可让用户扫描范围内的医疗设备。一个列表将会出现,用户可以选择一个设备,比如心脏起搏器,然后可以关闭或者配置为发送电击。
标准起搏器
好像这还不够糟糕,杰克表示可以将特制的固件上载到公司的服务器上,这些服务器可能会感染多个起搏器和ICD,并通过他们的系统传播,就像真正的病毒一样。
“我们正在潜心研究能够犯下大规模谋杀的蠕虫,”杰克说。 “有点令人害怕。”
具有讽刺意味的是,植入物和无线发射器都能够使用AES(高级加密标准)加密,但未启用,Jack说。这些设备还有“后门”,或程序员可以在没有使用序列号和型号的标准认证的情况下访问它们的方式。
由于没有后门程序,您可能需要“将某人打开”,这是合法的医疗需求。杰克说。 “但是,如果他们要有后门,至少要把它嵌入ICD内核的深处,这些都是昂贵的设备。”
杰克的演讲在一本像时尚这样的漫画书中有很好的说明。有一次,一张幻灯片显示一名男子看上去与美国前副总统切尼很相似,后者长期患心脏病。 Jack表示,该设备的缺陷可能意味着攻击者可能会在距离50英尺远的地方执行“相当匿名的暗杀行为”。“对我而言,笔记本电脑看起来不像是能够杀死某人的设备,” Jack说,
发送新闻提示和评论至[email protected]。在Twitter上关注我:@jeremy_kirk