大量第三方库令心脏起搏器存在安全风险

研究人员仔细分析了四大厂商的心脏起搏器系统，发现了大量会造成严重影响的漏洞。

植入式心脏设备很多都存在漏洞，这样的情况已经存在很多年了。去年8月，知名做空机构浑水资本（Muddy Waters Capital）在MedSec的协助研究下，发布报告称著名医疗器械公司圣犹达（St. Jude Medical,STJ）生产的多款心脏植入设备存在多个重大安全漏洞，可导致“致命性”网络攻击，对患者生命安全造成威胁。

由于心脏起搏器直接关乎患者的生命，厂商更应该严肃对待其中的安全问题，但研究人员还是在这些产品中发现大量漏洞。

WhiteScope是一家由Billy Rios创立的公司，Billy Rios是第一个分析医疗设备的研究人员。WhiteScope最近发表了一份报告，分析了植入性心脏设备的生态环境架构和依赖性，分析主要关注了心脏起搏器。

多种设备存在安全问题

分析涉及的设备包括四家厂商的家用监控系统，植入设备、起搏器编程器和病患支持网络。研究人员调查了每种设备的类型和设备之间的通信。

调查中所使用的设备购自eBay，研究发现许多产品都采用商业现成的微处理器，逆向工程很容易进行。

对于家用监控设备，研究人员发现网上能够很容易找到数据表，黑客可以知道监控设备如何工作以及怎么操控他们。由于没有进行打包、混淆和加密，固件的逆向工程也是非常容易。

植入设备中的调试功能同样会暴露固件的信息。恶意攻击者可能会利用这些功能获得入侵一些设备的权限，包括家用监控系统和医生用来对起搏器进行诊断和编程的起搏器编程器。

除此之外，WhiteScope在分析了四个起搏器编程器后发现，他们使用了超过300个第三方库。这些库中的174个存在总共超过8000个漏洞。

四大厂商无一幸存

“尽管FDA在强调网络安全更新上做出了诸多努力，但我们检查的编程器中仍然存在一些含有已知漏洞的过时软件，”Rios在博文中说“我们相信这个统计会显示心脏起搏器的生态系统在确保使用软件最新版本的方面存在问题。没有一个厂商在更新软件方面有特别突出的表现。”

研究人员还发现编程器中存储着一些未经加密的病人数据，包括社保卡号、名字、手机号码和医疗信息。而这些编程器基本上都会用到可移动磁盘，黑客就可以加载磁盘，然后拷走整个文件系统。

文件系统没有经过加密

另外一个潜在的问题是，编程器不需要任何方式的验证就能够对植入心脏设备进行编程。

研究人员在家用监控系统中也发现了一些漏洞，包括：设备无法把固件映射到受保护的内存中、固件更新没有数字签名也没有对中间人攻击进行防范、设备中存在硬编码的密码、不安全的外接USB设备连接、使用了通用的验证token匹配植入设备。

WhiteScope的报告中并没有提及具体厂商名称以及漏洞的细节，不过具体漏洞已经被报告给ICS-CERT，厂商应该已经收到了警告。

本文始发于微信公众号（零组攻防实验室）：大量第三方库令心脏起搏器存在安全风险