技術(shù)
導(dǎo)讀:專注于保護(hù)醫(yī)院和醫(yī)療系統(tǒng)安全的網(wǎng)絡(luò)安全初創(chuàng)公司Cynerio的研究人員在Aethon機(jī)器人中發(fā)現(xiàn)了一組五個(gè)從未見(jiàn)過(guò)的漏洞,他們說(shuō)這些漏洞允許惡意黑客遠(yuǎn)程劫持和控制這些自動(dòng)行駛的機(jī)器人,而且在某些情況下是通過(guò)互聯(lián)網(wǎng)進(jìn)行控制。
十年前,安全研究員巴納比-杰克(Barnaby Jack)在舞臺(tái)上當(dāng)著數(shù)百人的面無(wú)線入侵了醫(yī)院的胰島素泵,以證明它是多么容易被入侵以提供致命劑量的藥物。在過(guò)去的幾年里,醫(yī)療設(shè)備的安全性已經(jīng)得到了改善,盡管偶爾會(huì)有一些引人注目的小插曲。但是,研究人員現(xiàn)在發(fā)現(xiàn)較新的醫(yī)院技術(shù)存在漏洞,而這些漏洞在十年前還不那么普遍。
進(jìn)入醫(yī)院的機(jī)器人,可以在醫(yī)院園區(qū)內(nèi)運(yùn)送藥物、床單、食物、藥品和實(shí)驗(yàn)室標(biāo)本。這些機(jī)器人配備了運(yùn)輸關(guān)鍵貨物的空間,可以進(jìn)入醫(yī)院限制區(qū)域和乘坐電梯的安全通道,同時(shí)削減了勞動(dòng)力成本。
但是,專注于保護(hù)醫(yī)院和醫(yī)療系統(tǒng)安全的網(wǎng)絡(luò)安全初創(chuàng)公司Cynerio的研究人員在Aethon機(jī)器人中發(fā)現(xiàn)了一組五個(gè)從未見(jiàn)過(guò)的漏洞,他們說(shuō)這些漏洞允許惡意黑客遠(yuǎn)程劫持和控制這些自動(dòng)行駛的機(jī)器人,而且在某些情況下是通過(guò)互聯(lián)網(wǎng)進(jìn)行控制。
這五個(gè)漏洞,Cynerio統(tǒng)稱為JekyllBot:5,并不在機(jī)器人本身,而是在用于與醫(yī)院和酒店走廊上的機(jī)器人通信和控制的基礎(chǔ)服務(wù)器。這些漏洞包括允許黑客創(chuàng)建具有高級(jí)權(quán)限的新用戶,然后登錄并遠(yuǎn)程控制機(jī)器人和進(jìn)入限制區(qū)域,使用機(jī)器人內(nèi)置的攝像頭窺探病人或客人,或以其他方式造成混亂。
基礎(chǔ)服務(wù)器有一個(gè)網(wǎng)絡(luò)界面,可以從醫(yī)院的網(wǎng)絡(luò)內(nèi)部訪問(wèn),允許"客人"用戶查看實(shí)時(shí)的機(jī)器人攝像機(jī)畫面以及他們即將到來(lái)的日程安排和當(dāng)天的任務(wù),而不需要密碼。但是,盡管機(jī)器人的功能受到"管理員"賬戶的保護(hù),研究人員說(shuō),網(wǎng)絡(luò)界面漏洞可能允許黑客與機(jī)器人互動(dòng),而不需要管理員密碼來(lái)登錄。
研究人員說(shuō),這五個(gè)漏洞中的一個(gè)暴露了機(jī)器人使用網(wǎng)絡(luò)界面中的操縱桿式控制器進(jìn)行遠(yuǎn)程控制,而利用另一個(gè)漏洞可以與門鎖互動(dòng),呼叫和乘坐電梯,以及打開(kāi)和關(guān)閉藥物抽屜。在大多數(shù)情況下,如果對(duì)機(jī)器人基礎(chǔ)服務(wù)器的訪問(wèn)被限制在本地網(wǎng)絡(luò)內(nèi),只限制登錄的員工訪問(wèn),那么潛在的風(fēng)險(xiǎn)是有限的。
研究人員說(shuō),對(duì)于醫(yī)院、酒店或任何其他使用這些機(jī)器人的地方來(lái)說(shuō),風(fēng)險(xiǎn)要大得多,這些機(jī)器人的基礎(chǔ)服務(wù)器連接到互聯(lián)網(wǎng),因?yàn)檫@些漏洞可以從互聯(lián)網(wǎng)的任何地方觸發(fā)。Cynerio表示,他們?cè)卺t(yī)院以及為退伍軍人提供護(hù)理的設(shè)施中發(fā)現(xiàn)了暴露于互聯(lián)網(wǎng)的機(jī)器人的證據(jù)。Aethon公司在全球數(shù)百家醫(yī)院兜售其機(jī)器人,其中許多在美國(guó),大約有數(shù)千臺(tái)機(jī)器人。
在Cynerio提醒Aethon公司注意這些問(wèn)題后,Aethon公司發(fā)布的一批軟件和固件更新中修復(fù)了這些漏洞。據(jù)稱,Aethon已經(jīng)限制了暴露在互聯(lián)網(wǎng)上的服務(wù)器,使機(jī)器人免受潛在的遠(yuǎn)程攻擊,并修復(fù)了影響基站的其他網(wǎng)絡(luò)相關(guān)漏洞。