安全路透社
当前位置:安全路透社 > 网络转载 > 正文

耸人听闻还是真相?简要分析浑水资本发布的圣犹达公司心脏医疗设备安全报告

sn-pacemaker_0.jpg

知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称,著名医疗器械公司圣犹达(St. Jude Medical,STJ)生产的多款心脏植入设备存在多个重大安全漏洞,可导致“致命性”网络攻击,对患者生命安全造成威胁。据报告分析,漏洞主要存在于心脏植入设备和Merlin@home数据传输器之间的通信协议中,任何一个低级别的黑客都可实现入侵并远程监控患者数据系统。

1 概要

该报告涉及对圣犹达公司生产的起搏器、心脏整流去颤器、心脏同步化治疗设备等心脏类医疗设备。MedSec称漏洞已经在数百个使用设备中得到验证。目前,美国FDA拒绝对浑水公司发布的报告作出评论。圣犹达公司则声称此报告严重失实。

安全公司与做空机构合作并发布设备安全报告确实让人匪夷所思,有些专家声称,这可能是MedSec的投资策略。在此,我们不管这些嘴仗和猜测,来简要看看这篇安全报告。

2 报告分析

以下为报告中涉及的圣犹达STJ心脏护理设备:

0001.jpg

未加密协议漏洞

由于Merlin@home和心脏植入设备间的通信协议未加密,加之,Merlin@home在网络商店中比较泛滥,所以任何Merlin@home传输器都可以和植入设备进行通信,攻击者通过逆向分析通信协议就可以入侵心脏植入设备。如下图所示:

MedSec_HomeDevice-1024x655.jpg

下图为MedSec利用Merlin@home漏洞获取root权限证明:

图片2.png

硬件漏洞

Merlin@home电路板也存在不安全的因素,其RF射频芯片显然是一个现成的非定制卓联芯片,而其他厂商使用的却是与通信协议匹配的专门的定制芯片。另外, STJ采用了三星K9F1208内存芯片,曾经有一个公共演讲中提到可以从中提取数据。

图片3.png

另外患者护理系统也存在安全隐患,让人震惊的是,在其中竟然内置了可拆卸未加密的SATA/IDE硬盘,通过适配器接线,可以轻而易举地读取、更改、重写硬盘数据。攻击者经逆向分析,可以利用发包设备进行仿真通信,从而攻击设备。

图片4.png

漏洞攻击

通过Merlin@home设备可进行:

崩溃攻击

崩溃攻击可使心脏设备进入故障状态。经测试,STJ的许多心脏类器件容易受到该类攻击,通过SDR频率定义软件或广播天线即可实现攻击。

cccccc.jpg

电池耗尽攻击

MedSec通过研究证实,用Merlin@home设备发送加速信号可以心脏植入装置电池加速消耗,直至耗尽。Merlin@home设备大多被放置在患者病房,非常易受攻击。

FDA曾在2016年1月推出了《医疗设备售后管理网络安全指南草案》,根据草案和安全漏洞规则,STJ的心脏医疗设备处于高风险隐患状态。

2016-08-30_204101.jpg

报告三分之二内容叙述漏洞,其余三分之一与市场占有率、股票、投资收益相关,精华至此。

MedSec CEO在公司博客上发文

我们承认,这种做法可能会招致非议和批评,但我们相信,这是能刺激圣犹达公司采取修补措施的唯一方法。关键是,我们认为,现在和将来的患者有权知道他们面临的风险。消费者亟需知晓这类设备的透明度,尤其是需要关注其产品和功能质量。

**本文译者:clouds,来源:ThreatPost浑水机构报告

未经允许不得转载:安全路透社 » 耸人听闻还是真相?简要分析浑水资本发布的圣犹达公司心脏医疗设备安全报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册