美国食品和药物管理局 (FDA) 针对医生用于检查心电设备的心脏起搏器等两款可编程设备发出网络安全公告,表示这些设备中存在一个漏洞,可导致对程控器的越权访问。
FDA 表示已证实这一事实:当这两款由位于美国明尼阿波利斯的公司 Medtronic 制造的程控器连接到互联网时,未授权用户能够利用厂商的软件更新网络更改程控器功能。FDA 表示,医生通过程控器调整心脏起搏器的设置以及电池使用情况。
FDA 的一名顶级网络安全官员 Suzanne Schwartz 周四在一份声明中指出,“虽然我们并未发现病人可能因该漏洞而受到伤害的案例,但漏洞不解决为病人带来的风险太大。”
Medtronic 公司向医疗专业人士发送信函表示,该漏洞“可能引发风险,如未被完全缓解,则可能导致病人受伤害,而受伤害程度取决于恶意网络攻击的程度和意向以及病人的基本情况。截至目前,尚未发现此类攻击或因此遭受伤害的病人案例。”
Medtronic 公司回应称,已经禁用了对程控器的联网软件更新,从上周四开始,公司代表将手动并安全更新所有受影响的程控器。FDA 批准 Medtronic 软件更新,以便医疗提供商能够在无需联网即可使用程控器。FDA 表示这种更正措施是由厂商采取的“自愿召回”,而非法规部门的强制执行。
Medtronic 指出,病人使用的和程控器交互的植入设备如心脏起搏器和除颤器并不要求进行更新,“医生应该继续使用程控器进行编程设计、测试并评估所植入的心电设备。”
8月份,安全研究人员在黑帽大会上演示了黑客如何在一款程控器 CareLink 2090 上运行恶意固件上做出威胁生命安全的更改。研究人员 Billy Rios 和 Jonathan Butts 表示在2017年1月将漏洞问题告知 Medtronic 公司并批评该厂商耗费数月的时间才解决这个问题。
今年2月份和6月份,Medtronic 公司发布程控器安全通知和更新。然而,2月份发布的通知声称,研究人员的研究成果“并未暴露出基于现有产品安全风险评估基础上的任何潜在的安全风险”。
周四,Medtronic 公司发布声明称,病人的安全是公司的首要考虑,“Medtronic 公司非常重视产品的安全性,我们将继续在上市前开发和上市后使用过程中积极最小化并缓解网络安全漏洞。”
参加黑帽大会的研究人员 Schwartz 在改进医疗设备行业漏洞披露方面表示了比较浓厚的兴趣。她在周四表示,“FDA 致力于保护病人的安全,通过和所有利益相关者一起开发并执行解决方案来解决产品整个生命周期的网络安全问题。”
本文由360代码卫士翻译自CyberScoop
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
