醫療科技發達,在現在部分的人身上,都裝著一種稱之為心律調節器的裝置,這個小裝置藉由穩定的發出微量電流給心臟,來確保心跳的正常運作,若這項裝置出現異常,依賴這項裝置的病患將會面臨到嚴峻的生命威脅。
那如果有一天,這個裝置失效了,而且還是因為黑客入侵怎麼辦?
Black Hat 大會研究員公布,黑入心律調節器並可任意操控
美國時間 2018 年 8 月 4 日至 9 日,在美國賭城舉行了年度 Black Hat 黑帽黑客年會,這個被稱為資安界年度奧斯卡活動的地方,匯聚了全球最頂尖的黑客、資安團隊參加為期六天的研討會發表。
其中,兩位分別來自 Whitescope.io 與 QED Secure Solutions 團隊的成員 Billy Kim Rios、Jonathan Butts ,在研討會中現場示範了如何透過黑客攻擊,入侵了來自 Medtronic 公司出產的心律調節器。
在開始示範前,兩位研究員還特別請會場中有佩戴相同品牌調節器的人離場,避免發生意外。接著,在他們的攻擊下,不但成功的取得了心律調節器的控制權,作為代表他們還將系統介面的背景給換成一張骷髏頭圖片,表示他們所擁有的管理許可權。
而研究員可以做的指令還包括了讓心律調節器放出預期外的電流,或是完全不放電,導致裝置失靈,最終擾亂心臟的跳動。
根據研究員於現場的表示,這些攻擊方法完全可以在無聲無息、毫無察覺的情況下完成,換句話說 他們只需要躲在暗處動動手指頭,就能夠害死一條人命。
我知道有些遊戲玩家在想什麼,跟看門狗第一集最後 Boss 的死法一樣,對吧?可惜的是,這裡不是遊戲,而是現實生活中真的發生了。
研究員:半年前就通知廠商,但他們不想修
仔細想想就可以發現,這項漏洞是非常驚人的危害,知情的人很可能會使用這項技術造成其他人生命上的危險,既然如此,為何這兩位研究員不是去與廠商合作維修,而是選擇在年度黑客盛會上公開呢?
廣告
事實上,他們試過了。根據研究員的說法,他們早在近半年前就發現了這個漏洞,並且通知了 Medtronic 公司,然而他們卻得到了令人失望的答覆。
Medtronic 公司並不承認這是一個漏洞,而且也不打算做出任何修復,僅響應認為這樣的攻擊不太可能發生,認為這是一個可接受的風險因此不願修復問題 ,只有發布一項簡短公告表示這個問題可能影響到數據更新系統,並且建議患者與醫生對於連接裝置用的網路多加小心。
由於對這樣的答覆不滿,而且認為 Medtronic 公司並沒有提供足夠的公開警告,導致大眾可能低估了這個漏洞的風險,兩位研究員才決定於今年的 Black Hat 大會上,公開這項資訊。
美國政府介入,廠商:任何裝置都會有風險
在兩位研究員公開這項研究結果後,美國食品藥物管理處(FDA)就發表聲明,表示將會介入處理,認為這樣的結果是因為產業生態中青黃不接的問題,將會進一步督促,確保相關裝置的用戶能夠得到妥善的保護。
而 Medtronic 公司也對外發表聲明,表示在收到相關警告之初,並沒有全面性的評估相關漏洞, 而且所有的裝置都具備有一定程度的危險,他們將會儘力的尋找產品優勢與風險間的平衡點。
看到這裡,著實要令人擔憂,這樣的科技裝在身上,而自己的生命完全倚賴於這項科技時,廠商們是否應該拿出更多的積極態度,而不是用單純一句萬物皆有風險帶過,同時,也相信這次的事件將會為醫療科技圈敲響警鐘,若是我們不想出現一聊機械殺人手法的話,大家對資安的觀念就真的要加強了。
香港九龍灣馬來街興發大廈15樓D室