據(jù)安全研究人員稱(chēng)，醫(yī)院和醫(yī)療設(shè)施中廣泛使用的輸液泵具有嚴(yán)重的安全缺陷，可以遠(yuǎn)程劫持和控制。醫(yī)療保健公司CyberMDX的研究人員在醫(yī)療設(shè)備制造商Becton Dickinson開(kāi)發(fā)的Alaris網(wǎng)關(guān)工作站中發(fā)現(xiàn)了兩個(gè)漏洞。

　　輸液泵是醫(yī)院中最常見(jiàn)的套件之一。這些裝置控制靜脈輸液和藥物的分配，如止痛藥或胰島素。他們經(jīng)常連接到中央監(jiān)控站，因此醫(yī)務(wù)人員可以同時(shí)檢查多個(gè)患者。但研究人員發(fā)現(xiàn)，攻擊者可以在輸液泵的機(jī)載電腦上安裝惡意固件，該電腦為輸液泵供電，監(jiān)控和控制。這項(xiàng)電腦運(yùn)行Windows CE，通常用于智能手機(jī)之前的掌上電腦當(dāng)中。

　　研究人員表示，在最糟糕的情況下，通過(guò)安裝修改后的固件，可以在某些版本的設(shè)備上調(diào)整泵上的特定命令，包括輸液速率。研究人員表示，黑客也可以遠(yuǎn)程控制機(jī)載電腦，讓輸液泵離線。根據(jù)國(guó)土安全部的咨詢(xún)報(bào)告，該漏洞在行業(yè)標(biāo)準(zhǔn)的常見(jiàn)漏洞評(píng)分系統(tǒng)中獲得了罕見(jiàn)的最高分10.0分。另外一個(gè)漏洞得分為7.3分，可能允許攻擊者通Web瀏覽器訪問(wèn)工作站的監(jiān)控和配置界面。

　　研究人員表示，創(chuàng)建一個(gè)攻擊工具包非常簡(jiǎn)單，但攻擊鏈很復(fù)雜，需要多個(gè)步驟，包括訪問(wèn)醫(yī)院網(wǎng)絡(luò)，了解工作站的IP地址以及編寫(xiě)自定義惡意代碼的能力。換句話(huà)說(shuō)，直接殺死病人遠(yuǎn)比利用這些漏洞更容易。CyberMDX去年11月披露了Becton Dickinson的漏洞。對(duì)此，Becton Dickinson表示，設(shè)備所有者應(yīng)該更新到最新的固件，其中包含針對(duì)漏洞的修復(fù)程序。

　　目前，這種輸液泵在大約有50個(gè)國(guó)家使用，但是沒(méi)有在美國(guó)境內(nèi)使用。目前，這些缺陷再次提醒人們，任何設(shè)備都可能存在安全問(wèn)題 ，尤其是醫(yī)療領(lǐng)域的救生設(shè)備。