提到过的著名安全研究人员Barnaby Jack重出江湖,打算在2013年7月31日开幕的“黑帽”黑客会议上,展示一项更为惊人的“黑客绝技”:在9米之外入侵植入式心脏起搏器等无线医疗装 置,然后向其发出一系列830V高压电击,从而令“遥控杀人”成为现实。杰克声称,他已经发现了多家厂商生产的心脏起搏器的安全漏洞 然而蹊跷的是,7月25日,就在这项“黑客绝技”曝光前夕,杰克突然在美国旧金山神秘死亡。 由于美国警方拒绝透露杰克死亡细节,杰克的死引发了各种疯狂阴谋论,有阴谋论者指出,杰克最新针对医疗设备的“遥控杀人”技术不仅会对公众的生活安全构成威胁,也将令生产这些存在漏洞的医疗设备的厂商的名誉和经济利益遭到重创,不排除杰克因此惹火烧身,招来杀身之祸 引用: 这家伙曾经在2010年黑帽大会上成功地黑掉了两种不同系统的ATM机,现在他干出了更逆天的事情——黑掉了多家厂商生产的心脏起搏器。只需十几米之外的一台笔记本电脑,就能让它放出830V的电压,足以致人死地。 Barnaby Jack说,问题在于心脏起搏器和心脏除颤器都是有无线接收装置的,可以调节它们的工作模式;正是这个无线遥控渠道里面存在漏洞。他说已经通知了相关厂商,不过没有公布厂商的名字。 Jack声称他的目的是促使厂商意识到传统的安全措施不能继续使用了,数字时代的一切设备都应当符合数字时代的安全标准。事实上,起搏器是有能力使用AES加密的,但是这个选项默认没有开启…… 在美国,2006-2011年间共售出了460万个心脏起搏器和心脏除颤器。过去心脏起搏器的遥控功能很有限,但是近来的起搏器已经支持10-15米范围 内的遥控调节,频带也相当广,给黑客以可乘之机。Jack发现用无线输入特定命令之后起搏器就会输出其序列号和型号,由此可以继而为固件重编程、控制体内 的起搏器。他还发现这些起搏器经常会包含其它敏感信息,比如病人姓名、医生姓名、软件升级用服务器地址等等。他正在开发一款名为“电鳗”的程序,可以扫描 范围内所有的心脏起搏器并入侵之,他甚至认为可以直接入侵生产商的软件服务器,将后门植入他们生产的所有起搏器、像病毒一样传播开来 |