現今科技日新月異,不少心臟病患者體內都裝有心律調節器。透過發出微弱但穩定的電流給心臟,這個裝置能對心臟的肌肉做出持續與有規律的刺激,以維持心臟的持續跳動。
若果這項裝置出現異常,依賴這項裝置的病患者將會受到嚴峻的生命威脅。
這個裝置應有效防止被黑客入侵,但事實上又是否如此呢?
剛在拉斯維加斯舉辦的Black Hat黑客年度研討會,匯聚了全球最頂尖的黑客、資訊安全團隊參加。
其中兩位分別來自Whitescope.io和QED Secure Solutions團隊的成員Billy Kim Rios、Jonathan Butts,在研討會中現場示範了如何透過黑客攻擊,入侵了來自Medtronic公司出產的心律調節器。
在開始示範前,研究人員特別要求會場中有佩戴相同品牌調節器的人離場,避免發生意外。然後,在他們的攻擊下,不但成功地取得了心律調節器的控制權,還把代表他們擁有管理權限的骷髏頭圖片換成系統介面背景。
更令人震驚的是研究員可以讓心律調節器放出預期外的電流,或是完全不放電,導致裝置失靈,最終擾亂心臟的跳動。
根據研究員現場的示範,這些攻擊可以完全在無聲無息、毫無察覺的情況下完成。他們只需要躲在暗處輸入指令,就能夠害死一條人命。
研究人員:「半年前就通知廠方,但他們不想修理」
這個漏洞在公眾場合公開,若果被心懷不軌的人士利用,會造成其他人生命的危險。既然如此,為何這研究人員不是去與廠方合作維修,而是選擇在年度黑客研討會上公開呢?
事實上,他們試過了。根據研究人員的說法,他們早在近半年前就發現這個漏洞,並且通知了Medtronic公司,然而他們的答覆令人失望。
該公司並不承認這是一個漏洞,而且也不打算做出任何修復,僅回應認為這樣的攻擊「不太可能發生」,認為這是一個「可接受的風險」因此不願修復問題 ,只有發布一項簡短公告表示這個問題可能影響到資料更新系統,並且建議患者與醫生對於連接裝置時多加小心。
研究人員不滿這樣的答覆,而且認為Medtronic並沒有提供足夠的警示,導致大眾可能低估這個漏洞的風險,研究人員才決定在今年的Black Hat大會上,公開這項資訊。
美國政府介入,廠方:「任何裝置都會有風險」
兩位研究員公開這項研究結果後,美國食品藥物管理處(FDA)就發表聲明,表示將會介入處理,認為這樣的結果是因為產業生態中「青黃不接」的問題,將會進一步督促,確保相關裝置的用戶能夠得到妥善的保護。
Medtronic公司也發表聲明,表示在收到相關警告之初,並沒有全面地評估相關漏洞, 而且「所有的裝置都具備有一定程度的危險」,他們將會盡力的尋找產品優勢與風險間的平衡點。
現時情況實在令人擔憂,當這樣的科技裝在身上,而自己的生命完全倚賴這項科技時,廠方竟是一句「萬物皆有風險」。同時,這次的事件將成為醫療科技圈的警號。
要避免未來無聲殺人的話,大家對資訊安全的觀念就要加強了。
Source: Wired
Text by Fortune Insight
