读医学网

心脏起搏器暗藏巨大隐患？网络安全公司告：漏洞比想象中还多 作者：佚名 来源：DeepTech 日期：2017-06-03   心脏起搏器可谓是现代医学的伟大发明之一。其主要工作方式就是利用脉冲发生器所发出的电脉冲对心肌做出刺激。这种刺激对患有心律不整等慢性心脏疾病的病人来说非常重要，可以维持他们心脏的健康跳动。

 心脏起搏器可谓是现代医学的伟大发明之一。其主要工作方式就是利用脉冲发生器所发出的电脉冲对心肌做出刺激。这种刺激对患有心律不整等慢性心脏疾病的病人来说非常重要，可以维持他们心脏的健康跳动。

 现代心脏起搏器自从 1958 年首次被应用于临床后，已经拯救了成千上万病人的性命。由于事关人命，心脏起搏器必须是极其可靠的。但是，据网络安全公司 WhiteScope 近期的一篇报告显示，心脏起搏器有着巨大的安全漏洞。

 由于每个患者的情况都有不同，甚至同一名患者的心脏状况也会随着时间而变化，因此，现代心脏起搏器都是可以根据具体情况而设置的。

 这就要用到编程器了。编程器可以通过无线电波与病人体内的起搏器实现通讯，在不进行手术的情况下可以调整起搏器的设置。而正是这个通讯编程机制产生了大量的安全隐患。

 图 | 心脏起搏器的通讯变成机制：1,4,5 为编程器和 App，2 为通讯棒，3 为病人体内的起搏器，6 为无线电波的示意。

 WhiteScope 的研究人员发现，虽然美国市场上的四大起搏器商家都声称其编程器是受到 严格控制 的设备，但事实上这些设备在网上随处可得。他们在网上买了几个设备，价格从 15 美元至 3000 美元不等，而小编在 Ebay 上随便一搜也找到了许多出售编程器的广告。

 这，就是起搏器隐患的源头。

 在这些编程器上，WhiteScope 的研究人员一共发现了 8000 多个已知安全漏洞，已知的意思是这些漏洞之前已被发现，并应该被厂家通过软件升级补上。

 是的，四大心脏起搏器品牌的编程器都含有大量的漏洞。这意味着，在心脏起搏器的生态系统里， 打补丁 是个基本不存在的概念。

 图 | 四个品牌的起搏器与编程器系统的漏洞

 但是作为受到控制的设备?这些老旧的编程器是哪里来的呢?

 研究人员在一款购于网上的编程器中发现了未加密的患者资料，包括姓名，电话，SSN(社会保障号码)，以及一部分病历。这些资料来自于 美国东海岸一家著名医院 。

 这意味着，这台编程器因为未知原因，从医院中消失，出现在了网上，又被人随随便便的买到了。这就是起搏器隐患背后细思极恐的利益链。

 心脏起搏器的隐患在安全行业早就不是什么秘密了。美国前副总统 Dick Cheney 就曾因此而更换了他的心脏起搏器。WhiteScope 此次的研究只不过是让全世界得知了隐患的规模罢了。随着全球网络安全的每况愈下，也许在未来，我们可能会看到人们救命的设备成为了其丧命的原因。