每日安全資訊:研究人員發現一種廣泛使用的醫療輸液泵可以被遠端劫持

安华金和發表於2019-06-16

據安全研究人員稱,醫院和醫療設施中廣泛使用的輸液泵具有嚴重的安全缺陷,可以遠端劫持和控制。醫療保健公司 CyberMDX 的研究人員在醫療裝置製造商 Becton Dickinson 開發的 Alaris 閘道器工作站中發現了兩個漏洞。

輸液泵是醫院中最常見的套件之一。這些裝置控制靜脈輸液和藥物的分配,如止痛藥或胰島素。他們經常連線到中央監控站,因此醫務人員可以同時檢查多個患者。但研究人員發現,攻擊者可以在輸液泵的機載電腦上安裝惡意韌體,該電腦為輸液泵供電,監控和控制。這項電腦執行 Windows CE,通常用於智慧手機之前的掌上電腦當中。

研究人員表示,在最糟糕的情況下,通過安裝修改後的韌體,可以在某些版本的裝置上調整泵上的特定命令,包括輸液速率。研究人員表示,黑客也可以遠端控制機載電腦,讓輸液泵離線。根據國土安全部的諮詢報告,該漏洞在行業標準的常見漏洞評分系統中獲得了罕見的最高分 10.0 分。另外一個漏洞得分為 7.3 分,可能允許攻擊者通 Web 瀏覽器訪問工作站的監控和配置介面。

研究人員表示,建立一個攻擊工具包非常簡單,但攻擊鏈很複雜,需要多個步驟,包括訪問醫院網路,瞭解工作站的 IP 地址以及編寫自定義惡意程式碼的能力。換句話說,直接殺死病人遠比利用這些漏洞更容易。CyberMDX 去年 11 月披露了 Becton Dickinson 的漏洞。對此,Becton Dickinson 表示,裝置所有者應該更新到最新的韌體,其中包含針對漏洞的修復程式。

目前,這種輸液泵在大約有 50 個國家使用,但是沒有在美國境內使用。目前,這些缺陷再次提醒人們,任何裝置都可能存在安全問題 ,尤其是醫療領域的救生裝置。

來源:cnBeta.COM

更多資訊

研究發現 GPS 服務若發生中斷 全球每天將損失 10 億美元

自 1995 年全面投入運營以來,全球定位系統技術 GPS 已在全球得到廣泛採用。衛星導航的概念已經變得如此重要,以至於包括中國,俄羅斯,歐盟,印度和日本在內的其他世界大國都開始建立自己的區域或全球定位系統。現在,一次關於該服務的最全面的研究評估了這種 GPS 技術對經濟的價值,並研究了 30 天的停機會產生什麼影響。

來源: cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190615-2.html 

FB 加密貨幣專案曝光:共 25 個合作伙伴 各交 1000 萬美元

最近《華爾街日報》報導稱,Facebook 數字貨幣由一個名叫“Libra Association”的財團管理,Visa、萬事達、PayPal 都是該財團的成員。Libra Association 營銷資料顯示,除了上述企業,還有幾十家機構參與其中,它們的名字之前未曾曝光過,包括投資公司 Andreessen Horowitz 和 Union Square Ventures、加密貨幣交易所 Coinbase、非盈利機構 Mercy Corps。知情人士稱,Facebook 成立一家名叫 Calibra 的子公司,讓它負責打理加密貨幣業務,Calibra 也是該財團的創始成員。

來源: 新浪科技
詳情: http://www.dbsec.cn/zx/20190616-3.html 

蘋果修改企業證書適用準則 嚴防 App 開發者濫用

外媒報導稱,針對應用開發者濫用企業證書的現象,蘋果不得不對其適用準則進行了一番修訂,以便在沒有任何警告的情況下,隨時對該專案下的 App 進行審查。原本企業證書是為了方便企業內部進行 App 的部署,但擋不住某些 App 開發者故意鑽探企業證書的漏洞,向普通消費者分發逃脫 App Store 稽核的應用。

來源: cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190616-4.html 

App 必要資訊規範來了!這些個人資訊不可“任性”收集

你是否遇到過這樣的場景:“手機下載一個‘手電筒’應用,卻被要求訪問通訊錄”“安裝某個手機應用,不同意訪問地理位置就安裝不了”“在 App 裡瀏覽了某類資訊後,就會收到相關產品的廣告簡訊”……

來源: 新華網
詳情: http://www.dbsec.cn/zx/20190616-5.html 

(資訊來源於網路,安華金和蒐集整理)

每日安全資訊:研究人員發現一種廣泛使用的醫療輸液泵可以被遠端劫持

訂閱“Linux 中國”官方小程式來檢視

相關文章