欢迎光临:天天彩票app
您现在的位置:主页 > 鞋包/皮带配件 > 铜扣头 >  > 正文

新的起搏器黑客直接在设备上放置恶意软件

更新:2019-08-12 编辑:天天彩票app 来源:一起问道 热度:877℃
大约十年前出现了第一个起搏器黑客。但可怕主题的最新变化不是像许多先前的攻击一样操纵无线电命令,而是直接安装在植入起搏器上的恶意软件上。

近两年来,安全公司的研究人员Billy Rios QED Secure Solutions的Whitescope和Jonathan Butts与心脏起搏器制造商Medtronic不和,这使得Carelink 2090起搏器程序员和研究人员所说的其他相关设备可能存在威胁生命的漏洞。美国国土安全部和食品药品管理局也参与其中。虽然美敦力公司已经修复了研究人员发现的一些问题,但Rios和Butts表示,太多尚未得到解决,并且起搏器患者的风险仍然非常真实。他们将在周四的Black Hat安全会议上介绍他们的调查结果。

Rios和Butts说,他们发现了Medtronic' s基础架构中的一系列漏洞,攻击者可以利用这些漏洞进行攻击。远程控制植入心脏起搏器,提供患者不需要或扣留他们所做的电击,并造成真正的伤害。

“美敦力公司与我们讨论这个问题的时间段,如果他们刚刚把它他们可以解决很多这些问题的时间。“巴茨说。 “现在我们已经两年了,有些患者仍然容易受到改变治疗的风险,这意味着当我们想要或者我们可以否认发生冲击时我们会感到震惊。这非常令人沮丧。“

'我们正在谈论带来生猪,因为我们有一个应用程序,您可以远程从iPhone中杀死它。'

Jonathan Butts,QED安全解决方案

Rios和Butts最初披露了他们在Medtronic&#x27的软件交付网络中发现的漏洞,这个平台不与心脏起搏器直接通信,而是带来更新支持家庭监护仪和起搏器程序员等设备,医疗保健专业人员使用这些设备调整植入式心脏起搏器。由于软件交付网络是专有的云基础架构,因此Butts和Rios故意闯入系统以确认身份验证问题并且缺乏他们怀疑的完整性检查是非法的。因此,他们通过从外部映射平台并创建自己的副本环境来进行测试,从而创建了一个概念证明。

美敦力用了10个月的时间来审核提交,此时它选择不采取行动保护网络。 “美敦力评估了我们内部流程的漏洞,”该公司在2月写道。 “这些调查结果显示,基于现有产品安全风险评估,没有新的潜在安全风险。风险得到控制,剩余风险是可以接受的。该公司确实在3月向明尼苏达州明星论坛报告承认评估Rios和Butts'研究结果。

这并没有减轻研究人员的负担。'最初的担忧。但无法完全审查专有云基础设施,他们继续调查美敦力系统的其他方面,从医疗供应分销商和第三方经销商那里购买一些公司设备,以便直接修补。在Black Hat,Rios和Butts将展示起搏器程序员如何连接到Medtronic&#x27的软件交付网络的一系列漏洞。攻击还利用了缺乏“数字代码签名” - 一种加密验证软件合法性和完整性的方式 - 安装受污染的更新,让攻击者控制程序员,然后传播给植入式心脏起搏器。

转载请注明转载地址:“http://www.pjlol.com/xiebao_pidaipeijian/tongkoutou/201908/1376.html ”。

上一篇:技术CEO:天天彩票app少就是
下一篇:没有了
无法在这个位置找到: sidebar.htm