起搏设备现漏洞 危及性命引担忧

近日，独立网络安全服务及培训提供商WhiteScope对植入式心脏装置生态系统（implantable cardiac device ecosystem）的安全性进行了详尽评估，并于5月17日发布了研究报告——《对植入式心脏设备生态系统架构与实施过程依存关系的安全性评估》（Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies）。该报告指出，四大制造商生产的起搏系统及用于驱动设备组件的第三方函数库（third-party libraries）共存在8600多个程序漏洞。

危及患者生命安全的漏洞包括：无加密和身份验证，代码中的简单错误和糟糕的设计。这些漏洞都与起搏程序软件使用了过时的函数库有关。WhiteScope出于安全考虑并未公布具体存在漏洞的起搏器产品名单。

WhiteScope分析了四大制造商的七种以现代射频技术（modern radio frequency）为基础的起搏程序。这些程序用于监测植入式设备的运行并设置治疗参数。

研究发现，大多数的起搏生态系统的运行架构类似，包括植入式医疗设备、家庭监控系统、起搏器程序和能将数据传给医生的云基础设施。

起搏生态系统示意图  （来源：WhiteScope）

此次研究的四家制造商中，有两家分别存在3715个和2354个漏洞。研究人员发现，起搏产品并不要求医生认证程序，程序也无需认证植入式起搏器。这意味着，只要在设备射频范围内，任何人都可以修改该植入式设备的参数设置。

网购起搏器最易出问题

WhiteScope指出，通过网购的无认证起搏器最容易出现安全问题。作为掌管用户生命的设备，应该更加重视用户的安全性。而导致起搏器出现大量程序漏洞的原因是多数产品都没有申请认证。

研究人员在一份声明中说：“任何起搏器程序都可以对同一厂家生产的所有起搏器重新编程。”

此外，这些起搏系统将未加密的文件数据存储在可移动介质上，这意味着任何人都可以识别到心脏起搏设备，并设法对其数据进行攻击。这一设计漏洞表明，起搏器制造商需要对基本设计进行全面检修。

研究还发现，信息真实的未加密数据就赤裸裸地暴露在起搏器程序面前。这些未加密数据包括“美国东海岸某知名医院”所收治患者的社会安全号码、姓名、医疗数据等病历资料。研究人员已就发现的问题与相关政府机构取得了联系。

设备升级难以实现

研究人员认为，“与其他医疗器械一样，常给起搏设备打补丁和升级一直都是个挑战。尽管美国食品和药物管理局（(Food and Drug Administration，FDA）努力简化了常规的网络安全更新步骤，但此次研究中仍发现，所有被检程序还在使用存在已知漏洞的过时软件。”

“在保证系统实时更新换代的问题上，起搏器生态系统面临着诸多严峻挑战。没有哪个制造商能说自己比别人做得更好或更差。”

研究人员已将研究发现报告了全球工业控制信息安全的权威机构——美国工业控制系统网络应急响应小组(Industrial Control Systems Cyber Emergency Response Team，ICS-CERT)，希望相关起搏器制造商可以解决这些被检起搏设备上的漏洞。

这已不是第一次医疗设备的安全性受到抨击。从2016年到现在，圣犹达医疗设备公司（St. Jude Medical, Inc.）和雅培（Abbott）的医疗器械一直备受诟病。ICS-CERT和FDA从2013年就开始发布各种关于医疗器械的警告。

参考资料：

1.Healthcare IT News：Pacemaker device security audit finds 8,600 flaws, some potentially deadly

2. WhiteScope: Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies