十年前��,安全研究員巴納比-杰克(Barnaby Jack)在舞臺(tái)上當(dāng)著數(shù)百人的面無線入侵了醫(yī)院的胰島素泵����,以證明它是多么容易被入侵以提供致命劑量的藥物�。在過去的幾年里,醫(yī)療設(shè)備的安全性已經(jīng)得到了改善����,盡管偶爾會(huì)有一些引人注目的小插曲。但是��,研究人員現(xiàn)在發(fā)現(xiàn)較新的醫(yī)院技術(shù)存在漏洞��,而這些漏洞在十年前還不那么普遍。
進(jìn)入醫(yī)院的機(jī)器人�����,可以在醫(yī)院園區(qū)內(nèi)運(yùn)送藥物�����、床單��、食物���、藥品和實(shí)驗(yàn)室標(biāo)本����。這些機(jī)器人配備了運(yùn)輸關(guān)鍵貨物的空間���,可以進(jìn)入醫(yī)院限制區(qū)域和乘坐電梯的安全通道�����,同時(shí)削減了勞動(dòng)力成本��。
但是����,專注于保護(hù)醫(yī)院和醫(yī)療系統(tǒng)安全的網(wǎng)絡(luò)安全初創(chuàng)公司Cynerio的研究人員在Aethon機(jī)器人中發(fā)現(xiàn)了一組五個(gè)從未見過的漏洞,他們說這些漏洞允許惡意黑客遠(yuǎn)程劫持和控制這些自動(dòng)行駛的機(jī)器人���,而且在某些情況下是通過互聯(lián)網(wǎng)進(jìn)行控制�����。
這五個(gè)漏洞�,Cynerio統(tǒng)稱為JekyllBot:5����,并不在機(jī)器人本身,而是在用于與醫(yī)院和酒店走廊上的機(jī)器人通信和控制的基礎(chǔ)服務(wù)器�����。這些漏洞包括允許黑客創(chuàng)建具有高級(jí)權(quán)限的新用戶��,然后登錄并遠(yuǎn)程控制機(jī)器人和進(jìn)入限制區(qū)域��,使用機(jī)器人內(nèi)置的攝像頭窺探病人或客人��,或以其他方式造成混亂���。
基礎(chǔ)服務(wù)器有一個(gè)網(wǎng)絡(luò)界面����,可以從醫(yī)院的網(wǎng)絡(luò)內(nèi)部訪問�,允許"客人"用戶查看實(shí)時(shí)的機(jī)器人攝像機(jī)畫面以及他們即將到來的日程安排和當(dāng)天的任務(wù),而不需要密碼�。但是,盡管機(jī)器人的功能受到"管理員"賬戶的保護(hù)��,研究人員說�����,網(wǎng)絡(luò)界面漏洞可能允許黑客與機(jī)器人互動(dòng)�����,而不需要管理員密碼來登錄�。
研究人員說,這五個(gè)漏洞中的一個(gè)暴露了機(jī)器人使用網(wǎng)絡(luò)界面中的操縱桿式控制器進(jìn)行遠(yuǎn)程控制����,而利用另一個(gè)漏洞可以與門鎖互動(dòng),呼叫和乘坐電梯,以及打開和關(guān)閉藥物抽屜�。在大多數(shù)情況下,如果對(duì)機(jī)器人基礎(chǔ)服務(wù)器的訪問被限制在本地網(wǎng)絡(luò)內(nèi)��,只限制登錄的員工訪問���,那么潛在的風(fēng)險(xiǎn)是有限的�����。
研究人員說�����,對(duì)于醫(yī)院��、酒店或任何其他使用這些機(jī)器人的地方來說�,風(fēng)險(xiǎn)要大得多��,這些機(jī)器人的基礎(chǔ)服務(wù)器連接到互聯(lián)網(wǎng)��,因?yàn)檫@些漏洞可以從互聯(lián)網(wǎng)的任何地方觸發(fā)����。Cynerio表示�,他們?cè)卺t(yī)院以及為退伍軍人提供護(hù)理的設(shè)施中發(fā)現(xiàn)了暴露于互聯(lián)網(wǎng)的機(jī)器人的證據(jù)�。Aethon公司在全球數(shù)百家醫(yī)院兜售其機(jī)器人�,其中許多在美國,大約有數(shù)千臺(tái)機(jī)器人�����。
在Cynerio提醒Aethon公司注意這些問題后�,Aethon公司發(fā)布的一批軟件和固件更新中修復(fù)了這些漏洞。據(jù)稱�����,Aethon已經(jīng)限制了暴露在互聯(lián)網(wǎng)上的服務(wù)器��,使機(jī)器人免受潛在的遠(yuǎn)程攻擊����,并修復(fù)了影響基站的其他網(wǎng)絡(luò)相關(guān)漏洞。
