据外媒报道,安全研究人员发现,美国医院的麻醉机和呼吸机所使用的网络协议存在一个漏洞,如果利用该协议,这些医疗设备可能会遭到恶意篡改。来自医疗安全公司 CyberMDX 的研究人员表示,通用电气(GE)Aestiva 和 GE Aespire 设备中使用的协议可以在连接到医院网络终端服务器时发送命令。

 

研究人员指出,这些指令可以关闭警报、改变记录,另外还可以被滥用来改变呼吸器和麻醉机中吸入气体的成分。

 

美国国土安全局在周二发布的一份报告称这些漏洞只需要低水平的技术就能遭到利用。

 

“这些设备使用的是一种专有协议,”CyberMDX 研究主管 Elad Luz 说道,“计算这些命令非常简单。”

 

Luz 指出,其中一个命令会迫使设备使用仍存在于设备中的较老版协议,更糟的是,这些命令都不需要任何身份验证。

 

不过如果设备没有连接到网络那么就会安全得多。

 

据悉,CyberMDX 则是在 2018 年 10 月底向 GM 披露了这些漏洞。后者表示,Aestiva 和 Aespire 的 7100 和 7900 版在受影响范围内。据这家公司发言人表示,这一潜在的问题没有带来临床风险或直接的患者风险,麻醉设备本身也不存在脆弱性。不过这家公司拒绝透露受影响设备的具体数量,而 2009 年以后销售的系统则不再具备修改气体成分的能力。