醫療器械制造商美敦力因網絡安全風險召回可能導致傷害和死亡的部分設備
由于潛在的網絡安全風險,美敦力正在召回所有與MiniMed 508胰島素泵或MiniMed Paradigm系列胰島素泵使用的遠程控制器。未經授權的人(病人、病人護理人員或醫療保健提供者以外的人)可能會記錄和重放遙控器和MiniMed胰島素泵之間的無線通信。使用專門的設備,未經授權的人可以指導泵給病人過量輸送胰島素,導致低血糖,或者停止輸送胰島素,導致高血糖和糖尿病酮癥酸中毒,甚至死亡。當地時間2021年10月5日,美國食品和藥物管理局(FDA)和美敦力公司已發布召回通知。
此次召回與一組網絡安全研究人員在2018年發現的一系列漏洞有關。2019年6月,美國食品和藥物管理局(FDA)和美敦力通知公眾召回MiniMed 508和Paradigm系列胰島素泵,原因是攻擊者可能遠程攻擊這些設備的漏洞。
FDA和美敦力表示,一些受影響的用戶——他們的設備在保修期內——早在2018年8月就收到了通知。
現在,美敦力將召回范圍擴大到與受影響的胰島素泵相關的可選遙控器。這些設備的用戶已經收到了更新的指令,包括停止使用受影響的控制器并將其歸還。
美敦力公司在通知中給出了用戶可能采取的措施。
FDA表示,美國已召回31000多臺設備。該機構和美敦力公司指出,受影響的MiniMed MMT-500和MMT-503控制器已不再生產或分銷。
美國食品藥品監督管理局(FDA)已將此認定為I類召回,這是最嚴重的召回類型。使用這些設備可能會導致嚴重的傷害或死亡。
然而,FDA和美敦力都指出,他們不知道任何與這些漏洞相關的患者傷害報告。
研究人員在這些設備中發現的網絡安全漏洞與遙控器和胰島素泵之間的無線通信有關。該控制器允許用戶對胰島素的用量進行編程。
接近目標的攻擊者可以攔截遙控器和胰島素泵之間的無線電頻率信號,并在稍后的時間重放它們,以輸送額外劑量的胰島素或阻止胰島素的輸送。
FDA解釋說:“未經授權的人可以使用專門的設備,指導泵給患者過量輸送胰島素,導致低血糖,或停止輸送胰島素,導致高血糖和糖尿病酮癥酸中毒,甚至死亡。”
雖然這些漏洞帶來的風險可能是嚴重的,但攻擊只能在一定條件下發動。為了使攻擊生效,受害者必須啟用泵的遠程選項,將遠程控制器注冊到泵上,并啟用名為“Easy Bolus”的功能。此外,攻擊者需要離受害者很近,而且受害者需要忽略泵發出的警報,表明遠程的藥丸正在發送。
盡管如此,美敦力“已經確定MiniMed遠程控制器的潛在風險大于其持續使用的好處。”
過去幾年,針對美敦力產品中發現的漏洞,已經發布了幾項網絡安全建議。雖然設備制造商可以迅速為其產品中發現的缺陷提供緩解措施,但由于需要監管部門的批準,交付補丁可能是一個漫長的過程。
