知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称,著名医疗器械公司圣犹达(St. Jude Medical,STJ)生产的多款心脏植入设备存在多个重大安全漏洞,可导致“致命性”网络攻击,对患者生命安全造成威胁。
据报告分析,漏洞主要存在于心脏植入设备和Merlin@home数据传输器之间的通信协议中,任何一个低级别的黑客都可实现入侵并远程监控患者数据系统。
该报告涉及对圣犹达公司生产的起搏器、心脏整流去颤器、心脏同步化治疗设备等心脏类医疗设备。MedSec称漏洞已经在数百个使用设备中得到验证。
目前,美国FDA拒绝对浑水公司发布的报告作出评论。圣犹达公司则声称此报告严重失实。
安全公司与做空机构合作并发布设备安全报告确实让人匪夷所思,有些专家声称,这可能是MedSec的投资策略。在此,我们不管这些嘴仗和猜测,来简要看看这篇安全报告。
以下为报告中涉及的圣犹达STJ心脏护理设备:
由于Merlin@home和心脏植入设备间的通信协议未加密,加之,Merlin@home在网络商店中比较泛滥,所以任何Merlin@home传输器都可以和植入设备进行通信,攻击者通过逆向分析通信协议就可以入侵心脏植入设备。如下图所示:
下图为MedSec利用Merlin@home漏洞获取root权限证明:
Merlin@home电路板也存在不安全的因素,其RF射频芯片显然是一个现成的非定制卓联芯片,而其他厂商使用的却是与通信协议匹配的专门的定制芯片。
另外, STJ采用了三星K9F1208内存芯片,曾经有一个公共演讲中提到可以从中提取数据。
另外患者护理系统也存在安全隐患,让人震惊的是,在其中竟然内置了可拆卸未加密的SATA/IDE硬盘,通过适配器接线,可以轻而易举地读取、更改、重写硬盘数据。攻击者经逆向分析,可以利用发包设备进行仿真通信,从而攻击设备。
通过Merlin@home设备可进行:
崩溃攻击
崩溃攻击可使心脏设备进入故障状态。经测试,STJ的许多心脏类器件容易受到该类攻击,通过SDR频率定义软件或广播天线即可实现攻击。
电池耗尽攻击
MedSec通过研究证实,用Merlin@home设备发送加速信号可以心脏植入装置电池加速消耗,直至耗尽。Merlin@home设备大多被放置在患者病房,非常易受攻击。
FDA曾在2016年1月推出了《医疗设备售后管理网络安全指南草案》,根据草案和安全漏洞规则,STJ的心脏医疗设备处于高风险隐患状态。
报告三分之二内容叙述漏洞,其余三分之一与市场占有率、股票、投资收益相关,精华至此。
MedSec CEO在公司博客上发文:
我们承认,这种做法可能会招致非议和批评,但我们相信,这是能刺激圣犹达公司采取修补措施的唯一方法。关键是,我们认为,现在和将来的患者有权知道他们面临的风险。消费者亟需知晓这类设备的透明度,尤其是需要关注其产品和功能质量。
**本文译者:clouds,来源:ThreatPost、浑水机构报告,未经许可禁止转载