新闻是有分量的

美国警告安全漏洞可能让黑客控制心脏设备

华盛顿特区 - 美国国土安全部周二警告说,一家制造商的植入式心脏设备存在不寻常的网络安全缺陷,据称这可能让黑客远程控制一个人的除颤器或心脏起搏器。

MedSec Holdings的研究人员在几个月前的报告中发现的有关安全漏洞的信息仅在制造商St. Jude Medical于周一提供软件修复后才正式公布。 MedSec是一家专注于医疗保健行业的网络安全研究公司。

政府公告称,只要插入并连接到公司的网络,安全补丁将在几个月内自动推出给家中有设备发射器的患者。 发射器将心脏设备数据发送回医疗专业人员。

趋势新闻

雅培实验室的St. Jude在一份声明中说,它并不知道这个问题导致的死亡或受伤。 美国食品和药物管理局还表示,没有证据表明患者受到了伤害。

联邦对此问题的调查于8月开始。

MedSec首席执行官Justine Bone在Twitter上表示,St。Jude的软件修复并未解决设备中的所有问题。

St. Jude的设备可以治疗可导致心力衰竭或逮捕的危险的不规则心律。 当检测到危险的泵送模式时,这些装置植入胸部皮肤下,以电子方式调节心跳并使心脏恢复正常节律。

新的基因治疗程序可以提供起搏器替代方案

该公司的Merlinhome变送器以电子方式将设备性能的详细信息发送到患者医生可以查看信息的网站。 但该设备也可能被黑客攻击。

FDA发言人Angela Stark表示,FDA正在进行审查。 它的调查证实了家用发射器的漏洞,家庭发射器可能被黑客攻击并用于快速耗尽植入的设备电池,改变起搏并可能对人的心脏施加不适当和危险的冲击。

Stark说,由St. Jude发布的软件补丁“解决了给患者带来最大风险的漏洞”。

Stark表示,该公司正在努力快速解决剩余的漏洞问题。 她说,如果没有软件更新,任何提交给FDA审查使用受影响的发射器的新心脏装置都不会被清除或批准。

St. Jude在与雅培合并后透露了有关该问题的详细信息。 该公司此前否认了他们的设备可能被黑客入侵并向Muddy Waters LLC和MedSec提起诉讼的调查结果,声称他们试图通过操纵市场从漏洞研究披露中获利。

关于黑客有可能获得远程访问并影响人类心灵工作的能力,揭示了日益网络化的世界中网络安全的紧迫问题。 该通报还强调了安全研究人员面临的困境,他们可能觉得有义务告知公众可能存在的危险但不想引起不必要的恐慌。

“你的普通病人不会成为刺客的目标,”约翰霍普金斯大学计算机科学助理教授马修格林说。 在St. Jude提起诉讼后,他被Muddy Waters聘用来帮助验证MedSec的调查结果。 “在这个级别上的攻击是低概率但影响非常大。”他称之为“可能是我见过的最具影响力的漏洞。”

格林表示,MedSec为设备本身确定的许多更严重的漏洞尚未得到修复,但新软件将使家庭系统更加安全。

自2013年以来,FDA一直敦促制造商更新其产品,软件和安全措施。但是,去年发布的机构指南并不具有约束力。 根据其旨在简化医疗设备升级的规则,FDA不会审查绝大多数对设备进行的网络安全更新。

2015年,美国食品和药物管理局(FDA)向医院发布了两份单独的安全警报,内容是由辉瑞公司(Hospira

在第二次通知中,监管机构告诉医院停止使用该公司的Symbiq输液系统后,该公司确认该系统可能被远程攻击,允许外部方可能重新编程药泵。 这些装置用于缓慢剂量静脉注射药物用于疼痛,感染,营养和其他用途,并且通常通过无线医院网络进行编程。

该问题没有报告患者受伤,但该机构敦促用户“尽快开始转换为替代输液系统”。

据该机构称,在美国食品和药物管理局公布之前,Hospira因无关原因停止使用泵。