锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
库令心脏起搏器大量存在安全风险

作者: 佚名  日期:2017-06-06 07:25:05   来源: 本站整理

 
研究人员仔细分析了四大厂商的心脏起搏器系统,发现了大量会造成严重影响的漏洞。
植入式心脏设备很多都存在漏洞,这样的情况已经存在很多年了。去年8月,知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称著名医疗器械公司圣犹达(St. Jude Medical,STJ)生产的多款心脏植入设备存在多个重大安全漏洞,可导致“致命性”网络攻击,对患者生命安全造成威胁。
由于心脏起搏器直接关乎患者的生命,厂商更应该严肃对待其中的安全问题,但研究人员还是在这些产品中发现大量漏洞。
WhiteScope是一家由Billy Rios创立的公司,Billy Rios是第一个分析医疗设备的研究人员。WhiteScope最近发表了一份报告,分析了植入性心脏设备的生态环境架构和依赖性,分析主要关注了心脏起搏器。
多种设备存在安全问题
分析涉及的设备包括四家厂商的家用监控系统,植入设备、起搏器编程器和病患支持网络。研究人员调查了每种设备的类型和设备之间的通信。
调查中所使用的设备购自eBay,研究发现许多产品都采用商业现成的微处理器,逆向工程很容易进行。

对于家用监控设备,研究人员发现网上能够很容易找到数据表,黑客可以知道监控设备如何工作以及怎么操控他们。由于没有进行打包、混淆和加密,固件的逆向工程也是非常容易。
植入设备中的调试功能同样会暴露固件的信息。恶意攻击者可能会利用这些功能获得入侵一些设备的权限,包括家用监控系统和医生用来对起搏器进行诊断和编程的起搏器编程器。
除此之外,WhiteScope在分析了四个起搏器编程器后发现,他们使用了超过300个第三方库。这些库中的174个存在总共超过8000个漏洞。
四大厂商无一幸存
“尽管FDA在强调网络安全更新上做出了诸多努力,但我们检查的编程器中仍然存在一些含有已知漏洞的过时软件,”Rios在博文中说“我们相信这个统计会显示心脏起搏器的生态系统在确保使用软件最新版本的方面存在问题。没有一个厂商在更新软件方面有特别突出的表现。”
研究人员还发现编程器中存储着一些未经加密的病人数据,包括社保卡号、名字、手机号码和医疗信息。而这些编程器基本上都会用到可移动磁盘,黑客就可以加载磁盘,然后拷走整个文件系统。

文件系统没有经过加密
另外一个潜在的问题是,编程器不需要任何方式的验证就能够对植入心脏设备进行编程。
研究人员在家用监控系统中也发现了一些漏洞,包括:设备无法把固件映射到受保护的内存中、固件更新没有数字签名也没有对中间人攻击进行防范、设备中存在硬编码的密码、不安全的外接USB设备连接、使用了通用的验证token匹配植入设备。
WhiteScope的报告中并没有提及具体厂商名称以及漏洞的细节,不过具体漏洞已经被报告给ICS-CERT,厂商应该已经收到了警告。



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等