研究人員發現醫院用自動機器人有被遠程劫持的風險
十年前,安全研究員巴納比-傑克(Barnaby Jack)在舞台上當著數百人的面無線入侵了醫院的胰島素泵,以證明它是多麼容易被入侵以提供致命劑量的藥物。在過去的幾年裡,醫療設備的安全性已經得到了改善,儘管偶爾會有一些引人注目的小插曲。但是,研究人員現在發現較新的醫院技術存在漏洞,而這些漏洞在十年前還不那麼普遍。
進入醫院的機器人,可以在醫院園區內運送藥物、床單、食物、藥品和實驗室標本。這些機器人配備了運輸關鍵貨物的空間,可以進入醫院限制區域和乘坐電梯的安全通道,同時削減了勞動力成本。
但是,專注於保護醫院和醫療系統安全的網絡安全初創公司Cynerio的研究人員在Aethon機器人中發現了一組五個從未見過的漏洞,他們說這些漏洞允許惡意黑客遠程劫持和控制這些自動行駛的機器人,而且在某些情況下是通過互聯網進行控制。
這五個漏洞,Cynerio統稱為JekyllBot:5,並不在機器人本身,而是在用於與醫院和酒店走廊上的機器人通信和控制的基礎服務器。這些漏洞包括允許黑客創建具有高級權限的新用戶,然後登錄並遠程控制機器人和進入限制區域,使用機器人內置的攝像頭窺探病人或客人,或以其他方式造成混亂。
基礎服務器有一個網絡界面,可以從醫院的網絡內部訪問,允許”客人”用戶查看實時的機器人攝像機畫面以及他們即將到來的日程安排和當天的任務,而不需要密碼。但是,儘管機器人的功能受到”管理員”賬戶的保護,研究人員說,網絡界面漏洞可能允許黑客與機器人互動,而不需要管理員密碼來登錄。
研究人員說,這五個漏洞中的一個暴露了機器人使用網絡界面中的操縱桿式控制器進行遠程控制,而利用另一個漏洞可以與門鎖互動,呼叫和乘坐電梯,以及打開和關閉藥物抽屜。在大多數情況下,如果對機器人基礎服務器的訪問被限制在本地網絡內,只限制登錄的員工訪問,那麼潛在的風險是有限的。
研究人員說,對於醫院、酒店或任何其他使用這些機器人的地方來說,風險要大得多,這些機器人的基礎服務器連接到互聯網,因為這些漏洞可以從互聯網的任何地方觸發。Cynerio表示,他們在醫院以及為退伍軍人提供護理的設施中發現了暴露於互聯網的機器人的證據。Aethon公司在全球數百家醫院兜售其機器人,其中許多在美國,大約有數千台機器人。
在Cynerio提醒Aethon公司注意這些問題後,Aethon公司發布的一批軟件和固件更新中修復了這些漏洞。據稱,Aethon已經限制了暴露在互聯網上的服務器,使機器人免受潛在的遠程攻擊,並修復了影響基站的其他網絡相關漏洞。