心臟起搏器中存在巨大安全隱患 或威脅患者生命

E安全5月8日訊 相信大家已經無數次從好萊塢大片中看到黑客通過操縱股市來獲取收益。雖然這種誤解相當可笑，但必須承認的是，確實有一部分黑客希望讓這樣的幻想成為現實，甚至也確實存在這類能夠讓幻想成為現實的安全漏洞。

本文系E安全官網獨家編譯報道

事實上，在關鍵性金融乃至其它系統當中，一部分黑客正努力還原大片中的好萊塢式陰謀並最終藉此獲得極為可觀的回報。

心中的後門才最為可怕

這一切已經開始影響到我們的現實生活，其中一例正是聖猶達醫療公司的心臟起搏器遭遇入侵。就在上周，新聞報道稱該公司對於安全隱患的不作為態度已經導致病人死亡。

去年8月，賣空企業Muddy Waters公司及其安全商業合作夥伴MedSec Holdings公司發布了一系列令人震驚且引發激烈爭議的發現。報告指出，聖猶達醫療公司的起搏器與植入式心臟裝置中存在重大安全缺陷。

不過MedSec與Muddy Waters的研究人員並未採取標準披露流程(直接與製造商進行接洽以確保其能夠修復漏洞並發布相關補丁)，而直接將結果公諸於眾。在新聞披露之後，MedSec方面承認，其對聖猶達醫療公司進行的安全調查源自Muddy公司的資助。

Muddy Waters公司創始人卡森-布洛克（Carson Block）面對投資者及新聞媒體發布了一份報告，警告稱「數十萬美國民眾生活在定時炸彈的威脅之下：聖猶達推出的心臟起搏器與除顫器易受到攻擊入侵，並造成潛在的、可能致命的工作中斷後果。」

儘管這種狀況以往僅存在於好萊塢與《犯罪現場調查》劇集當中，但這一次彭博電視也確認並對此進行了發布。布洛克同時補充認為，最可怕的情景是黑客將能夠發動大規模攻擊，導致這些植入式設備發生故障。聖猶達醫療公司應該立即停止銷售這些設備，直到開發出新的安全通信協議。

雖然警方已經開始對起搏器監控活動進行調查，但目前還沒有出現該起搏器遭遇大規模黑客入侵的案例記錄。

在這份報告發布之後，聖猶達公司的股價立即下跌了5%。聖猶達醫療公司宣稱，Muddy Waters發布的這份報告存在「虛假與誤導性內容」，其中大部分調查結果僅適用於較舊及未經修復的設備版本。

在一篇博文當中，MedSec公司CEO賈斯汀-伯恩（Justine Gone）作出了聲明，解釋其為何沒有首先向製造商透露調查信息。該公司堅稱聖猶達醫療公司「至少自2013年開始就意識到其產品中存在安全問題」。

MedSec方面指出，考慮到設備中存在的嚴重安全隱患，其決定首先將結果提交至媒體及Muddy Waters手中，這「是促使聖猶達公司採取行動的惟一途徑」。

本文系E安全官網獨家編譯報道

伯恩女士在博文中解釋稱，「過去18個月以來，我們的團隊一直在悄悄評估各類醫療器械的安全水平。其中聖猶達醫療公司的安全狀況遠遠落後，且多年來其持續通過設備銷售與設備生態系統獲准，而幾乎毫無內置安全保障機制可言的產品令眾多患者身處風險當中。」

MedSec Holdings公司直接披露該漏洞引發爭議

部分信息安全人士表示，這種不事先向聖猶達醫療公司報告問題的作法會危及患者且屬於不道德行為。此事亦引發了關於責任、披露及新聞界作用的激烈爭論。部分人希望了解這些發現是否能夠重現，並要求通過獨立審計以客觀確定實際情況，因為部分研究人員甚至得出了一些存在衝突的結果。

最終，聖猶達醫療公司的股價下跌了10%。該公司則針對MedSec與Muddy
Waters發起了訴訟。而在安全企業Bishop
Fox公司轉載了這一調查報告後，三家公司再次通過新聞媒體就MedSec調查開展唇槍舌戰。此外，另一組研究人員聲稱他們發現確實能夠對大約10英尺距離內的起搏器進行控制。

在Muddy Waters公司剛剛發布這一調查結果時，美國食品與藥物管理局（簡稱FDA）拒絕對聖猶達設備安全漏洞一事發表評論。

但如今FDA終於發聲，看起來MedSec得出的結論並無問題。根據FDA方面發布的一封令人信服的函件，聖猶達醫療公司早在2014年便對其植入式醫療器械中存在的安全問題有所了解，「但卻並未通過軟體更新或者設備更換的方式解決這些問題。」該機構得出的結論是，聖猶達醫療公司一次又一次違反內部安全與產品質量指導原則，且導致至少一名患者死亡。

儘管曾於2014年4月僱用某第三方對相關安全漏洞進行了調查，但聖猶達醫療公司未能準確將該項評估的結果納入其後續設備的風險評估之內。

FDA同時表示，其中嚴重程度最高的漏洞為聖猶達公司高壓心臟起搏器中的一段「硬編碼通用解鎖碼」。聖猶達醫療公司的母公司雅培作出回應稱「患者安全永遠至上」，且其將認真對待這些問題，持續推動糾正措施以取得良好進展，密切研究FDA的警告建議並致力於全面解決FDA所關注的各項問題。

伯恩在接受採訪時表示，此次披露的內容確實令人耳目一新。聖猶達醫療公司首次公開承認其了解產品中的安全隱患，但仍繼續將這些產品銷售給患者並進行體內植入。他稱再也不想糾結於Muddy

Waters、MedSec以及聖猶達之間的衝突。在與製造商接洽之前就貿然公布漏洞結果確實不夠明智，而且也很難起到預期的效果。但在這場雙方都有錯的對抗中，FDA站出來懲罰了錯誤更大的一方……

但他實在不能接受的是，不排除這些信息安全研究人員是單純為了博眼球、求關注而發布這種導致病患死亡的作法的可能。

如果真是這樣，這群打著修復安全漏洞旗號的研究人員也許只是想憑藉自己的發現博取名聲與利益，我也實在無法通過這樣的行為確定他們是否還真的在乎自己的良知與他人的生命。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。