taitra
活動+
 

亞培心臟節律器恐有遭駭之虞 美患者被告知韌體更新

有問題的節律器是亞培1月收購的老牌醫療器材業者St. Jude Medical所製造。Abbott

心臟節律器是維持病患生命的重要裝置,由於內部裝設無線電射頻(RF)接收設備,因此也暴露在駭客攻擊的風險下,最近美國有將近5萬名病患被告知需要做韌體更新,以防節律器被不肖人士挾持。

心臟節律器是植入病患上部胸腔的小裝置,通常安裝射頻設備以便遠端維修,也因此在植入後無需再做任何手術。網站Ars Technica報導指出,如同眾多無線裝置一樣,亞培(Abbott Laboratories)的節律器也有重大安全漏洞,駭客能在無線電波範圍內控制節律器。

這批有問題的節律器是亞培1月收購的老牌醫療器材業者St. Jude Medical所製造。亞培業務代表最近發函給醫護人員指出,如果駭客成功攔截電波,接下來即可對節律器下指令,甚至調整設定或毀損裝置功能。亞培建議裝有節律器的病患前往醫院診所,請醫生將裝置設定在備份模式,同時做韌體更新。

據美國食品和藥物管理局(FDA)估計,美國市場約有46.5萬個節律器暴露被駭客攻擊的風險下,其他國家目前尚無統計資料。

過去10年來關於電子節律器、胰島素幫浦和其他醫學裝置存有潛在致命瑕疵的案例持續增加,不過許多病患、醫生和安全專家認為裝置的瑕疵不至於帶來嚴重威脅,主要是因為攻擊者必須在距離病患50呎(15.24公尺)內才有機會控制裝置。

值得注意的是,勒索軟體的威脅與日俱增,不肖份子很可能挾持病患的維生裝置,要求支付大筆贖金方能取得解密鑰匙來開啟加密的檔案,否則恐會面臨嚴重的資料流失。

目前授權人士遠端控制醫學裝置是使用密碼或類似的驗證方式開啟,但這也會衍生問題。當發生緊急情況時,醫生通常必須立刻開啟裝置,但如果病患已經無法提供裝置憑證,醫護人員沒能立即找到病患醫生,這樣的安全防護可能延遲緊急治療的時間。

有研究人員針對此提出解決方案,建議透過一種特殊的醫療穿戴式裝置,使用病患獨特的生理特徵來保護裝置,避免駭客攻擊和竄改資料。