十年前,安全研究员巴纳比-杰克(Barnaby Jack)在舞台上当着数百人的面无线入侵了医院的胰岛素泵,以证明它是多么容易被入侵以提供致命剂量的药物。在过去的几年里,医疗设备的安全性已经得到了改善,尽管偶尔会有一些引人注目的小插曲。但是,研究人员现在发现较新的医院技术存在漏洞,而这些漏洞在十年前还不那么普遍。
进入医院的机器人,可以在医院园区内运送药物、床单、食物、药品和实验室标本。这些机器人配备了运输关键货物的空间,可以进入医院限制区域和乘坐电梯的安全通道,同时削减了劳动力成本。
但是,专注于保护医院和医疗系统安全的网络安全初创公司Cynerio的研究人员在Aethon机器人中发现了一组五个从未见过的漏洞,他们说这些漏洞允许恶意黑客远程劫持和控制这些自动行驶的机器人,而且在某些情况下是通过互联网进行控制。
这五个漏洞,Cynerio统称为JekyllBot:5,并不在机器人本身,而是在用于与医院和酒店走廊上的机器人通信和控制的基础服务器。这些漏洞包括允许黑客创建具有高级权限的新用户,然后登录并远程控制机器人和进入限制区域,使用机器人内置的摄像头窥探病人或客人,或以其他方式造成混乱。
基础服务器有一个网络界面,可以从医院的网络内部访问,允许"客人"用户查看实时的机器人摄像机画面以及他们即将到来的日程安排和当天的任务,而不需要密码。但是,尽管机器人的功能受到"管理员"账户的保护,研究人员说,网络界面漏洞可能允许黑客与机器人互动,而不需要管理员密码来登录。
研究人员说,这五个漏洞中的一个暴露了机器人使用网络界面中的操纵杆式控制器进行远程控制,而利用另一个漏洞可以与门锁互动,呼叫和乘坐电梯,以及打开和关闭药物抽屉。在大多数情况下,如果对机器人基础服务器的访问被限制在本地网络内,只限制登录的员工访问,那么潜在的风险是有限的。
研究人员说,对于医院、酒店或任何其他使用这些机器人的地方来说,风险要大得多,这些机器人的基础服务器连接到互联网,因为这些漏洞可以从互联网的任何地方触发。Cynerio表示,他们在医院以及为退伍军人提供护理的设施中发现了暴露于互联网的机器人的证据。Aethon公司在全球数百家医院兜售其机器人,其中许多在美国,大约有数千台机器人。
在Cynerio提醒Aethon公司注意这些问题后,Aethon公司发布的一批软件和固件更新中修复了这些漏洞。据称,Aethon已经限制了暴露在互联网上的服务器,使机器人免受潜在的远程攻击,并修复了影响基站的其他网络相关漏洞。
(举报)