駭客示範攻擊心律調節器,能玩死人的系統漏洞廠商竟不修,還表示:安全風險低

醫療科技發達,在現在部分的人身上,都裝著一種稱之為「心律調節器」的裝置,這個小裝置藉由穩定的發出微量電流給心臟,來確保心跳的正常運作,若這項裝置出現異常,依賴這項裝置的病患將會面臨到嚴峻的生命威脅。

那如果有一天,這個裝置失效了,而且還是因為駭客入侵怎麼辦?

Black Hat 大會研究員公布,駭入心律調節器並可任意操控

美國時間 2018 年 8 月 4 日至 9 日,在美國賭城舉行了年度 Black Hat 黑帽駭客年會,這個被稱為資安界年度奧斯卡活動的地方,匯聚了全球最頂尖的駭客、資安團隊參加為期六天的研討會發表。

其中,兩位分別來自 Whitescope.io 與 QED Secure Solutions 團隊的成員 Billy Kim Rios、Jonathan Butts ,在研討會中現場示範了如何透過駭客攻擊,入侵了來自 Medtronic 公司出產的心律調節器。

在開始示範前,兩位研究員還特別請會場中有佩戴相同品牌調節器的人離場,避免發生意外。接著,在他們的攻擊下,不但成功的取得了心律調節器的控制權,作為代表他們還將系統介面的背景給換成一張骷髏頭圖片,表示他們所擁有的管理權限。

而研究員可以做的指令還包括了讓心律調節器放出預期外的電流,或是完全不放電,導致裝置失靈,最終擾亂心臟的跳動。

根據研究員於現場的表示,這些攻擊方法完全可以在無聲無息、毫無察覺的情況下完成,換句話說 他們只需要躲在暗處動動手指頭,就能夠害死一條人命。

我知道有些遊戲玩家在想什麼,跟「看門狗」第一集最後 Boss 的死法一樣,對吧?可惜的是,這裡不是遊戲,而是現實生活中真的發生了。

研究員:「半年前就通知廠商,但他們不想修」

仔細想想就可以發現,這項漏洞是非常驚人的危害,知情的人很可能會使用這項技術造成其他人生命上的危險,既然如此,為何這兩位研究員不是去與廠商合作維修,而是選擇在年度駭客盛會上公開呢?

事實上,他們試過了。根據研究員的說法,他們早在近半年前就發現了這個漏洞,並且通知了 Medtronic 公司,然而他們卻得到了令人失望的答覆。

Medtronic 公司並不承認這是一個漏洞,而且也不打算做出任何修復,僅回應認為這樣的攻擊「不太可能發生」,認為這是一個「可接受的風險」因此不願修復問題 ,只有發布一項簡短公告表示這個問題可能影響到資料更新系統,並且建議患者與醫生對於連接裝置用的網路多加小心。

由於對這樣的答覆不滿,而且認為 Medtronic 公司並沒有提供足夠的公開警告,導致大眾可能低估了這個漏洞的風險,兩位研究員才決定於今年的 Black Hat 大會上,公開這項資訊。

美國政府介入,廠商:任何裝置都會有風險

在兩位研究員公開這項研究結果後,美國食品藥物管理處(FDA)就發表聲明,表示將會介入處理,認為這樣的結果是因為產業生態中「青黃不接」的問題,將會進一步督促,確保相關裝置的用戶能夠得到妥善的保護。

而 Medtronic 公司也對外發表聲明,表示在收到相關警告之初,並沒有全面性的評估相關漏洞, 而且「所有的裝置都具備有一定程度的危險」,他們將會盡力的尋找產品優勢與風險間的平衡點。

看到這裡,著實要令人擔憂,這樣的科技裝在身上,而自己的生命完全倚賴於這項科技時,廠商們是否應該拿出更多的積極態度,而不是用單純一句「萬物皆有風險」帶過,同時,也相信這次的事件將會為醫療科技圈敲響警鐘,若是我們不想出現一聊機械殺人手法的話,大家對資安的觀念就真的要加強了。

─ ─

參考資料來源:
UNWIRE PRO: 心律調節器被發現存在系統漏洞 廠商拒絕修補
WIRED:A New Pacemaker Hack Puts Malware Directly on the Device
The Guairdian:Hackable implanted medical devices could cause deaths, researchers say
INSIDE: 研究員成功駭進心律調節器!製造商卻推拖不修漏洞

(本文提供合作夥伴轉載首圖來源轉載,首圖來源:WIKIPEDIA,CC Licensed。)


全方位掌握消費者數位軌跡

AI 如何有效提升電商業績、降低導入成本?

《領取白皮書》

點關鍵字看更多相關文章: