駭到真要命! 研究：心律調節器藏有超過8000個已知漏洞

物聯網(IoT)時代還沒完全來臨，但連帶的資安問題卻早已浮現，有研究發現，市面上普遍採用、來自4家廠商的7種心律調節器(起搏器)與其周邊系統，就被發現合計超過8000種已知的資安漏洞，可能危及使用者的性命安全。
 
資安公司WhiteScope本週公布一份研究報告，指出安裝在人體的心律調節器，以及搭配使用的家用監控器、醫院與病人家中聯節的網路、用來設計控制指令的專用程式編輯器等，由於不少採用老舊的資訊架構，4家業者的產品，分別包含642個到3715個已知的安全漏洞，凸顯醫療設備軟體安全漏洞的嚴重性。
 
這些心律調節器的專用程式編輯器，都採用了未加密的儲存媒體，如IDE硬碟或PCMICA快閃儲存，值得注意的是，多半都使用非常老舊的作業系統，包括Windows XP、MonteVista一類的即時作業系統(RTOS)，甚至DOS與OS2，都仍被這些編輯器採用。
 
編輯器本身都缺乏任何密碼保護，開機便可直接進入程式編輯軟體，只要完成連線，編輯器即可調整同廠牌心律調節器的程式，影響其運作方式。
 
WhiteScope研究人員直言，該研究凸顯出心律調節器廠商在確保系統不受軟體臭蟲、漏洞影響這件事上，面臨極大的挑戰。他們強調，該研究的目的不是在挑起情緒性恐慌，而是希望整個產業能夠努力改善這些可能導致系統遭利用的弱點，以保護病患健康。
 
該研究報告已經送交美國國土安全部與相關的醫療廠商。這份報告在全球不少醫療機構遭受WannaCry勒索蠕蟲攻擊後公布，也挑起外界對現有醫療產業在資訊安全防護可能做得不夠的質疑。