你的心臟還好嗎？請儘快進行固件升級——因為存在致命漏洞

4 月 23 日，HBO 根據同名小說改編而成的自製劇《西部世界》第二季重磅回歸！

激動之餘，胖君看到另一條消息：從 Abbot Laboratories （雅培公司）進行心臟植入的患者，請儘快前往附近醫療中心進行固件升級——

其中一個原因竟然是現有的固件中存在漏洞。

GIF

現代科技拚命讓人們分不清現實與虛擬。在人工智慧覺醒之前，我們可能已經被自己搞死了。

「全球五十萬心臟起搏器被召回」的背後

美國生理學家阿爾伯特?海曼（Albert Hyman）在 1932 年改良製造出了第一台心臟起搏器。美國工程師厄爾?巴克肯（Earl Bakken）在1958 年進一步製造出可隨身攜帶的心臟起搏器。沒過幾年，心臟起搏器就投入到廣泛的治療和應用之中。

左：阿爾伯特?海曼

右：厄爾?巴克肯

心臟起搏器是一種用於治療心臟疾病的醫療用具，幫助心臟按設定的正常頻率跳動，從而拯救生命。

據《大西洋月刊》記載，從 1993 年至 2009 年，有近 300 萬美國人植入了起搏器。紐約大學 Lior Jankelson 介紹，目前患者使用的新型起搏器都是雲鏈接的。這些設備延續了生命，卻也留下了遭受惡意攻擊的安全隱患。

GIF

2007 年，美國前副總統迪克·切尼就曾為防止刺客通過干擾起搏器進行攻擊，而讓醫生將其心臟起搏器的無線功能關閉。2008 年，密歇根大學的安全研究人員曾發現，從起搏器中提取敏感信息完全可行，甚至可以通過改變起搏規律或關閉起搏器威脅生命。

曾經以「讓 ATM 機吐抄的黑客」聞名的 IOActive 安全研究員 Barnaby Jack 發現了心臟起搏器漏洞，卻在 2013 年參加 Blackhat 發表《植入式醫療器械：人體黑客》議題之前，意外身亡，令人惋惜。

2016 年，網路安全公司 MedSec Holdings 與做空機構渾水公司合作公開了一份安全漏洞報告，聲稱發現了美國老牌醫療器械製造商 St. Jude Medical 製造的心臟起搏器存在被黑客入侵的安全隱患，後來卻遭到這一品牌的誹謗控訴。

正在面臨雅培公司收購的 St. Jude 一開始便否認了所有安全問題，並指責 「渾水公司似乎一直在不斷的製造這種不實的報告，然後影響對方公司的股票價格」。儘管，多位安全專家為設備確實存在「一些比較嚴重的無線協議安全漏洞」出面證明。

據《華爾街見聞》引用業內人士指出，一家網路安全公司與做空機構合作公開一份設備安全漏洞報告的行為是史無前例的。而 FDA 和美國國土安全局都在各自調查後，表示：病人可以放心繼續使用 St. Jude 的心臟移植設備。

同年 10 月，St. Jude 製造的心臟去顫器電池提早沒電，造成兩起死亡案例。公司宣布召回 4000 件產品。

2017 年 1 月，已經被雅培以 250 億美元收購的 St. Jude 發布漏洞補丁，但是堅持「這些設備受到網路攻擊的風險很低」。

2017 年 5 月 White Scope 安全公司研究人員發現，黑客利用起搏器漏洞編寫並運行停止或者修改心臟跳動的代碼。美國聯邦食品藥物管理局（FDA）因此要求召回全球 465000 個受漏洞影響的心臟起搏器。唯一值得慶幸的是，這個「修復」並不需要患者重新進行一次手術。病人到治療中心，只需要三分鐘就能完成設備更新。

「完美威脅」會出現嗎？

多年以前，「計算機感染的病毒會傳染人類」還是一個段子。現在，通過網路攻擊行為殺人也不再僅僅存在於科幻小說中。

即便機器學習在圖像識別、語言識別處理等眾多領域取得巨大成就的今天，將 AI 演算法直接運用於成熟產品的情況少之又少，AI 距離「覺醒」之時，依舊遙遠。

人都會生病，也無法避免存在漏洞。幸運的是有一群白帽黑客，為治療網路安全領域的「疑難雜症」尋求技術的突破。

作為白帽黑客展示才華的舞台，GeekPwn2018 推出了全新項目規則，分為設置不同挑戰場景的「命題專項賽」和不設限制的 「非命題開放賽」。

人會犯錯，由人類智慧延伸而成的代碼同樣可能出錯。

GIF

在「非命題開放賽」中，GeekPwn 鼓勵選手腦洞大開，嘗試利用新的手段實現突破安全限制，發現並積極提交安全漏洞或者安全缺陷。

———END———

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！