35万台 ICD 和心脏起搏器存在多个致命缺陷

Abbott 已召回约35万台可植入性心室去颤器进行固件更新,原因是这些设备被指包含威胁生命的缺陷并易遭利用。

Abbott 公司(此前被称为 St. Jude Medical)已召回大量此类设备修复该缺陷并保护病患免遭被黑心脏起搏器带来的危险。

漏洞早在2014年就存在

据报道,Abbott 公司的一些可植入心脏除颤器(ICD,也被称为心脏再同步治疗除颤器 CRT-D)也将进行固件升级。通过升级,这些设备(或我们通常称之为心脏起搏器)将提供更好的防护措施,抵御黑客攻击以及未授权访问,且约46.5万名病患将免遭生命威胁。

去年,安全研究员 MedSec 和 Muddy Waters 从 Abbott 心脏起搏器中找到了多个漏洞,但公司并未理会这些研究发现,并起诉研究员侵犯公司的名誉权。

然而,美国食品和药物管理局 (FDA) 发布的报告且隶属美国国土安全部的 ICS-CERT 发布的安全公告都支持研究人员的研究成果,从而为 Abbott 施压修复漏洞。最终,Abbott 别无选择,只能开始发布固件更新并发布自愿召回。FDA 报告披露称 Abbott 公司在2014年起就已经意识到其生产的心脏起搏器中存在多个问题。

固件升级后,除了医生,没有人能够在心脏起搏器中部署变化。该更新已获得 FDA 的批准并含有有效的修复方案以及安全更新。固件升级后,设备能够检测出电池耗电速度是否快于预期,并且将把相关情况通知给病患。

Abbott 在网站上表示已经为其可植入设备、远程监控系统以及程序员做出了一系列更新计划。心脏起搏器修复是这个原定于2017年的计划的首项内容。2017年,研究人员表示 ICDs 受多个安全缺陷的困扰,可能带来灾难性后果。Abbott 公司要求病患在完成植入流程前与医生取得联系。

漏洞可致病患死亡

由 Abbott 公司开发的心脏起搏器中存在的这个问题和硬编码解锁代码相关。如果该代码被黑客识别出来,那么获得对所有易受攻击设备的后门权限将非常容易。Merlin@home 发射器也被指易受中间人攻击。如果黑客结合使用这两种漏洞,那么就能发送来自 Merlin@home 发射器的命令来操控植入并制造可能引发病患死亡的心血管问题。

Abbott 公司声称尚未发现针对其心脏起搏器遭黑客利用的报告或者有人获得对植入设备的未经授权的访问权限。黑客要获得更新的一个要求是访问办公室但更新进程本身并不具入侵性。就像 Abbott 公司解释得那样,“在升级过程中,将会在 ICD 或 CRT-D 上放置能向设备传输信息的信标。在流程结束时,会审查设备的最终设置以确保已成功完成更新。升级流程大概需要三分钟完成。”

Abbott 公司建议病患咨询医生以获得最佳更新。截至目前,已在设备上执行了近5万个固件更新,同时,FDA 和 Abbott 公司也都证实称目前尚未出现任何问题。

(完)