糖尿病的情况台湾相当可说是相当严重,根据国家卫生研究院《2019台湾糖尿病年鉴》,盛行率已经超过11%,患者人数超过230万人,而能协助他们稳定提供胰岛素的泵浦(insulin pump)设备,一旦存在安全漏洞,影响层面便会相当广泛,例如,去年美敦力(Medtronic)为此召回他们售出的胰岛素泵浦。不过,这类设备的漏洞在台湾鲜少有安全专家探讨,直到今年台湾黑客年会(HITCON)上,有德国讲者通过视频会议,在台湾首度讲解这种泵浦存在的漏洞,呼吁安全界重视这种设备的信息安全。
ERNW安全分析师暨研究员Julian Suleder表示,这项漏洞的研究动机,是德国安全办公室(German Federal Office for Information Security,BSI)于2018年底发起的ManiMed项目(Manipulation of Medical Devices),委由ERNW安全实验室来检测韩国企业Sooil所推出的Dana Diabecare RS。
此次进行研究的Dana Diabecare RS,可说是具有时下此类设备的主要特色。Julian Suleder表示,这款胰岛素泵浦的主打特色,就是可借由蓝牙低电压协议(BLE)连接智能手机,让病人能使用AnyDANA手机App操作这台泵浦。再者,Julian Suleder指出,这款设备是具有程序开发能力的病人所喜爱的产品之一,他们会为此打造专属的移动应用程序,也有开发者将自己的App公开于GitHub供其他用户下载,或是进一步制作人工肝脏系统(Artificial Pancreas Systems,APS)等。
ManiMed是BSI针对联网医疗器材的网络安全风险,企图在设备制造商、安全研究员,以及主管机关之间,创建彼此信赖的沟通与合作渠道,进而提升这些设备的信息安全。
此次ERNW的研究发现,这款胰岛素泵浦存在着采用容易被猜到的默认PIN码,再加上与手机之间的蓝牙握手所采用的加密密钥强度不足,以及用户身份验证机制极为薄弱等现象,他们于2019年8月通过BSI通报之后,Sooil在同年10月22日向德国当局提交修补固件,2020年4月Sooil首度正式向欧洲用户提供相关固件,次月德国联邦药物与医疗器材研究所(Federal Institute for Drugs and Medical Devices,BfArM)也发布安全性矫正行动(Field Safety Corrective Action,FSCA),来公告此事。而这次ERNW不仅在台湾黑客年会披露他们的发现,同一天(9月11日)也在网站上提供完整的报告内容。
从ERNW提供的漏洞通报进程来看,厂商自获报后到提供修正版固件的时间大约接近2个月,经遇德国主管机关验证后,用户实际能够取得新版固件的时间已是隔年4月,长达半年,突显医疗器材审查与验证的流程相当耗时。
ERNW究竟发现了那些可被利用的弱点呢?Julian Suleder指出,主要可以区分为胰岛素泵浦与手机应用程序蓝牙通信的防护不足,以及缺乏安全意识的PIN码规划等2个层面。
Julian Suleder表示,手机与泵浦之间的蓝牙连接过程,防护机制明显有所不足,例如,握手过程所需的密钥,是通过固定的规则产生,他举例像是以泵浦里的时间为产生密钥的依据,而且是通过明文发送给手机,导致可能被攻击者破解,进而冒充用户的移动设备来与泵浦连接并进行控制,形成所谓的中间人攻击。
ERNW在Dana Diabecare RS发现的漏洞中,较为严重的还是与蓝牙通信有关,他们也展示概念性验证攻击(PoC)的视频,攻击者通过蓝牙与胰岛素泵浦连接后,可从中篡改设置,导致用户无法通过泵浦面板操作。(视频来源/ERNW)
在蓝牙通信的漏洞之余,Julian Suleder也提及厂商对于PIN码组态的忽视。例如,键盘锁定的PIN码默认是0000,而修改组态的PIN码则是3022,但后者必须通过厂商协助才能调整,用户无法自行变更。再者,在搭配智能手机之后,ERNW发现,如果用户通过手机应用程序AnyDANA操作,来变动键盘锁定PIN码,这项工作的流程竟全部在手机执行,胰岛素泵浦本身没有参与验证,换言之,这种情况下攻击者仍然可以使用旧的PIN码来解锁泵浦。
胰岛素泵浦厂商对于PIN码身份验证机制的疏忽,也同样隐含弱点,只是和前述的蓝牙漏洞相比,攻击者往往需要实际接触泵浦才能滥用。