近 50 萬個心律調節器有資安漏洞,FDA 要求召回並更新

作者 | 發布日期 2017 年 09 月 04 日 8:15 | 分類 穿戴式裝置 , 資訊安全 , 醫療科技 follow us in feedly

跟全球肆虐的勒索病毒比起來,接下來這則新聞更讓人不寒而慄,前者也就讓你破點財,後者則要你命!在美國,上萬人被要求更新心律調節器。據外媒 securityaffairs 報導,美國食品和藥物管理局(FDA)正召回大約 50 萬個心律調節器,因為它們很容易受到駭客攻擊。




今年 5 月,來自安全公司「White Scope」的研究人員分析了 7 個起搏器模型,它們產自 4 個不同的製造商。研究發現,這些醫療器械很有可能被駭客攻擊。

駭客利用漏洞重新編寫程式,可以停止心律調節器電池的運作或修改心臟跳動的模式,在發現這個漏洞後,FDA 已召回 465,000 個心律調節器。不過好消息是,目前為止還沒有心律調節器被入侵的報導。

受影響的 6 種心律調節器是來自亞培(Abbott)公司,分別是 Accent、 Anthem、Accent MRI、Accent ST、Assurity和 Allure。

在美國,韌體的更新版本適用於 Accent SR RF、Accent MRI、Assurity、Assurity MRI、Accent DR RF、Anthem RF、Allure RF、Allure Quadra RF和 Quadra Allure MP RF。

出口的心律調節器設備包括 Accent SR RF、 Accent ST、Accent MRI、Accent ST MRI、Assurity、Assurity +、Assurity MRI、Accent DR RF、Anthem RF、Allure RF、Allure Quadra RF、Quadra Allure MP RF、Quadra Allure 和 Quadra Allure MP。

該公司開發的韌體更新,會有連接裝置的強制認證,這些設備都是 8 月 28 日之前生產的。「許多醫療設備包含可配置的嵌入式電腦系統,很容易受到網路入侵和攻擊。」FDA 的安全顧問說。

「醫療設備正越來越多透過網路、醫院網路或其他醫療設備和智慧型手機相連,這也使網路安全的漏洞利用風險增加,其中一些可能會影響到醫療設備的運作。」

幸運的是,這些心律調節器的韌體可以不用取出來就完成更新,病人只要找他們的醫療保健提供者,只需 3 分鐘就可完成更新,非常簡單。該更新還包括進一步的作業系統修正、加密,還有禁用網路連結功能等。

(本文由 雷鋒網 授權轉載)