黑客可入侵医院药泵，向患者提供致命剂量的药物

LifecarePCA 是一台供医院病人使用的药物输注机，旨在将正确剂量的药物直接注射到需要的人的手臂上。当它正常工作时，机械精度可以避免人为错误并减轻护理负担。然而，如果有人心怀恶意地控制了该系统，他们就可以一次性将一瓶止痛药全部注射到受害者体内。安全研究员 Billy Rios 最近的研究表明，LifecarePCA 系统以及 Hospira 的其他五种药物输送机型号都容易受到黑客攻击，黑客可以改变所输送药物的剂量。

泵会访问药库——这是一个数字参考资料，其中包含重要信息，例如基于患者年龄、性别和体重的适当剂量限制，以防止机器意外给予有害剂量。机器非常信任，因此每当它访问医院网络上的药库时，它都会假定这是正确的药库，并且不会要求进行身份验证。这意味着任何有权访问医院网络的人都可以上传一个新药库，该药库表明他们可以给予更多或更少的某种药物。

仅就这一点而言，这已经很糟糕了。更糟糕的是，设备中还有一个漏洞，攻击者可以修改固件，让设备给出不准确的剂量。固件由制造商预装在设备上，是一种通常不会被注意到的后台软件。当制造商意识到他们的产品有漏洞时，他们会发送固件更新，但大多数用户从未直接与之交互。

然而，在公司发送固件更新和机器检查固件更新之间没有身份验证过程。因此，黑客有可能发送一个狡猾的“固件更新”，诱骗机器给出致命剂量。通常，机器会根据药物库检查这些剂量，如果不正确，则会发出警报，但药物库被更改意味着高剂量不会被注意到。根据 Rios 的研究，虽然这种恶意黑客的后果是巨大的，但如果公司让机器需要公司的身份验证，以便只有官方升级才能通过，那么黑客入侵的可能性就会大大降低。

与大多数医疗设备黑客攻击一样，人们的震惊更像是“我不敢相信他们忘了锁门”，而不是“这些机器会招致致命的破坏”。像 Rios 这样的安全研究人员会提前发现设备中的问题，而这些问题可能是公司没有想到的，也可能是拖延了一段时间，以免它们成为致命的漏洞。Rios 向负责监管医疗设备的 FDA 报告了他对此的初步研究。上个月，他们发布了有关泵漏洞的警告。

有线