心臟起搏器暗藏巨大隱患？網路安全公司告：漏洞比想象中還多

心臟起搏器可謂是現代醫學的偉大發明之一。其主要工作方式就是利用脈衝發生器所發出的電脈衝對心肌做出刺激。這種刺激對患有心律不整等慢性心臟疾病的病人來說非常重要，可以維持他們心臟的健康跳動。

現代心臟起搏器自從1958年首次被應用於臨床后，已經拯救了成千上萬病人的性命。由於事關人命，心臟起搏器必須是極其可靠的。但是，據網路安全公司WhiteScope近期的一篇報告顯示，心臟起搏器有著巨大的安全漏洞。

圖 | 植入式心臟起搏器，其導線被引導到心房心肌之上，為患者的心臟提供電脈衝刺激

由於每個患者的情況都有不同，甚至同一名患者的心臟狀況也會隨著時間而變化，因此，現代心臟起搏器都是可以根據具體情況而設置的。

這就要用到編程器了。編程器可以通過無線電波與病人體內的起搏器實現通訊，在不進行手術的情況下可以調整起搏器的設置。而正是這個通訊編程機制產生了大量的安全隱患。

圖 | 心臟起搏器的通訊變成機制：1,4,5為編程器和App，2為通訊棒，3為病人體內的起搏器，6為無線電波的示意。

WhiteScope的研究人員發現，雖然美國市場上的四大起搏器商家都聲稱其編程器是受到「嚴格控制」的設備，但事實上這些設備在網上隨處可得。他們在網上買了幾個設備，價格從15美元至3000美元不等，而小編在Ebay上隨便一搜也找到了許多出售編程器的廣告。

這，就是起搏器隱患的源頭。

圖 | Ebay上出售的心臟起搏器編程器，售價225美元

圖 | Ebay上出售的心臟起搏器編程器，售價200美元

在這些編程器上，WhiteScope的研究人員一共發現了8000多個已知安全漏洞，已知的意思是這些漏洞之前已被發現，並應該被廠家通過軟體升級補上。

是的，四大心臟起搏器品牌的編程器都含有大量的漏洞。這意味著，在心臟起搏器的生態系統里，「打補丁」是個基本不存在的概念。

圖 | 四個品牌的起搏器與編程器系統的漏洞

但是作為受到控制的設備？這些老舊的編程器是哪裡來的呢？

研究人員在一款購於網上的編程器中發現了未加密的患者資料，包括姓名，電話，SSN（社會保障號碼），以及一部分病歷。這些資料來自於「美國東海岸一家著名醫院」。

這意味著，這台編程器因為未知原因，從醫院中消失，出現在了網上，又被人隨隨便便的買到了。這就是起搏器隱患背後細思極恐的利益鏈。

心臟起搏器的隱患在安全行業早就不是什麼秘密了。美國前副總統Dick Cheney就曾因此而更換了他的心臟起搏器。WhiteScope此次的研究只不過是讓全世界得知了隱患的規模罷了。隨著全球網路安全的每況愈下，也許在未來，我們可能會看到人們救命的設備成為了其喪命的原因。