耸人听闻还是真相？简要分析浑水资本发布的圣犹达公司心脏医疗设备安全报告

知名做空机构浑水资本（Muddy Waters Capital）在MedSec的协助研究下，发布报告称，著名医疗器械公司圣犹达（St. Jude Medical,STJ）生产的多款心脏植入设备存在多个重大安全漏洞，可导致“致命性”网络攻击，对患者生命安全造成威胁。

据报告分析，漏洞主要存在于心脏植入设备和Merlin@home数据传输器之间的通信协议中，任何一个低级别的黑客都可实现入侵并远程监控患者数据系统。

1 概要

该报告涉及对圣犹达公司生产的起搏器、心脏整流去颤器、心脏同步化治疗设备等心脏类医疗设备。MedSec称漏洞已经在数百个使用设备中得到验证。

目前，美国FDA拒绝对浑水公司发布的报告作出评论。圣犹达公司则声称此报告严重失实。

安全公司与做空机构合作并发布设备安全报告确实让人匪夷所思，有些专家声称，这可能是MedSec的投资策略。在此，我们不管这些嘴仗和猜测，来简要看看这篇安全报告。

2 报告分析

以下为报告中涉及的圣犹达STJ心脏护理设备：

未加密协议漏洞

由于Merlin@home和心脏植入设备间的通信协议未加密，加之，Merlin@home在网络商店中比较泛滥，所以任何Merlin@home传输器都可以和植入设备进行通信，攻击者通过逆向分析通信协议就可以入侵心脏植入设备。如下图所示：

下图为MedSec利用Merlin@home漏洞获取root权限证明：

硬件漏洞

Merlin@home电路板也存在不安全的因素，其RF射频芯片显然是一个现成的非定制卓联芯片，而其他厂商使用的却是与通信协议匹配的专门的定制芯片。

另外， STJ采用了三星K9F1208内存芯片，曾经有一个公共演讲中提到可以从中提取数据。

另外患者护理系统也存在安全隐患，让人震惊的是，在其中竟然内置了可拆卸未加密的SATA/IDE硬盘，通过适配器接线，可以轻而易举地读取、更改、重写硬盘数据。攻击者经逆向分析，可以利用发包设备进行仿真通信，从而攻击设备。

漏洞攻击

通过Merlin@home设备可进行：

崩溃攻击

崩溃攻击可使心脏设备进入故障状态。经测试，STJ的许多心脏类器件容易受到该类攻击，通过SDR频率定义软件或广播天线即可实现攻击。

电池耗尽攻击

MedSec通过研究证实，用Merlin@home设备发送加速信号可以心脏植入装置电池加速消耗，直至耗尽。Merlin@home设备大多被放置在患者病房，非常易受攻击。

FDA曾在2016年1月推出了《医疗设备售后管理网络安全指南草案》，根据草案和安全漏洞规则，STJ的心脏医疗设备处于高风险隐患状态。

报告三分之二内容叙述漏洞，其余三分之一与市场占有率、股票、投资收益相关，精华至此。

MedSec CEO在公司博客上发文：

我们承认，这种做法可能会招致非议和批评，但我们相信，这是能刺激圣犹达公司采取修补措施的唯一方法。关键是，我们认为，现在和将来的患者有权知道他们面临的风险。消费者亟需知晓这类设备的透明度，尤其是需要关注其产品和功能质量。

**本文译者：clouds，来源：ThreatPost、浑水机构报告，未经许可禁止转载