胰島素泵漏洞威脅生命 醫療設備制造商召回產品
責編:gltian |2019-07-01 14:30:04因曝出可致無線劫持的安全漏洞,醫療植入物制造商 MedTronic 正在召回其胰島素泵產品。
召回產品包括:MiniMed 508 及 Paradigm 胰島素泵、CareLink USB 控制中心和協同使用的一些血糖監測設備。美國食品藥品監督管理局 (FDA) 也于本周發布警告稱,該公司此次曝出的漏洞可被附近黑客利用于在胰島素泵上執行指令。
這些指令可控制胰島素泵注入過量胰島素,使患者低血糖頭暈昏厥或突發癲癇;亦可減少胰島素注入量,誘發嚴重的酮癥酸中毒威脅患者生命。這和用扳手敲腦袋一樣致命,但這次是只見 “扳手” 不見兇手。
Medtronic 稱此次召回是自愿的,并會向發回胰島素泵的患者提供替代設備——不受 CVE-2019-10964 安全漏洞影響的新型設備 MiniMed 670G。至于因各種原因無法獲取新胰島素泵的患者,該公司建議:不要將泵接入任何非 Medtronic 設備,并在不使用時拔下 CareLink USB 設備。
FDA 稱,未授權用戶(非病人、非看護、非醫療保健提供方)可利用這些網絡安全漏洞無線連接附近的 MiniMed 胰島素泵。
非法連接者可修改胰島素泵設置,或過量注入胰島素致病人陷入低血糖癥,或停止胰島素注入致病人罹患高血糖癥和糖尿病酮癥酸中毒。
安全研究人員發現,帶漏洞的 MiniMed 胰島素泵與其 CareLink 控制器之間的無線電通信并不安全。距離該胰島素泵夠近的攻擊者可冒充 CareLink 設備,用軟件定義無線電或類似工具包,向胰島素泵無線發送有可能致命的指令。
研究人員向媒體透露:漏洞影響無線電功能。黑客可以采用自定義無線電協議,通過軟件定義無線電就能利用這些漏洞。
此類漏洞的首個概念驗證研究是傳奇信息安全大師 Barnaby Jack 于 2011 年提出的。
Jack 與 Nathanael Paul 和 Jay Radcliffe 等同屬第一批漏洞獵手,但英年早逝,2013 年黑帽安全大會后不久即辭世。他曾指出,Medtronic 及其他醫療植入物采用不安全無線電信道收發患者數據及指令,惡意黑客可攔截這些信息并向設備注入自身指令引發潛在災難性后果。
FDA 警報原文:
Medtronic 客戶服務通告:
https://www.medtronicdiabetes.com/customer-support/product-and-service-updates/notice11-letter