安全风险：Animas OneTouch Ping 胰岛素泵系统的漏洞

关键要点

Animas OneTouch Ping胰岛素泵系统存在安全漏洞，可能被黑客利用以进行未授权的胰岛素注射。漏洞主要源于设备组件间通讯缺乏加密。用户可以采取措施以降低风险，但仍有安全隐患。医疗设备的安全性正日益受到重视，相关厂商及监管机构需加强合作。

Animas，一家隶属于强生的医疗设备制造商，警告使用其OneTouch Ping胰岛素泵的糖尿病患者，存在可能让黑客进行未授权胰岛素注射的安全问题。

这些漏洞由Rapid7的安全研究员Jay Radcliffe发现，他是一名1型糖尿病患者，且也是该泵的用户。漏洞主要源于设备两个部分之间缺乏加密的通讯：胰岛素泵本身和监测血糖水平并控制胰岛素注射的米特遥控器。

狂飙加速器app

胰岛素泵和米特通过一种专有的无线管理协议进行通讯，该通讯以无线电频率传输，但数据并未加密。这使得系统面临多种攻击风险。

攻击类型风险描述被动攻击者可窃取交通数据，读取血糖结果和胰岛素剂量信息伪造攻击可以轻易伪造米特信号给胰岛素泵，因配对设备的密钥以明文方式传输中继攻击可以拦截合法命令并在稍后时传回，从而执行胰岛素释放

“这种漏洞可能被用于远程注入胰岛素，进而导致患者出现低血糖反应，”Rapid7的研究人员在博客帖子中表示。

还有一个问题是，胰岛素泵缺乏针对所谓中继攻击的保护，攻击者可以在未具备特殊知识的情况下执行胰岛素注射。

虽然米特遥控器的广告声称可以在10米范围内工作，但实际上采用更强大的无线电传输设备如业余无线电使用的设备进行伪造攻击是可能的。

Animas在其网站上发布了一份安全声明，提供了建议，并将向客户发送信件。

该公司认为，One Touch Ping系统遭到未授权访问的可能性非常低，称这些攻击“需要技术专长、复杂的设备以及接近设备的条件。”

关心安全问题的用户可以关闭胰岛素泵的无线电频率功能，但这样一来患者就需手动输入血糖读数，因为米特将无法再传输数据。

此外，该泵可以被编程限制每次、每两小时和每天可注射的胰岛素剂量。超出这些设置的尝试将触发泵的警报，阻止胰岛素注射的进行，Animas表示。

Radcliffe指出，糖尿病患者每天面临的高血糖和低血糖风险比这些漏洞带来的风险更为严峻。他将因安全问题而移除胰岛素泵比喻为永远不乘坐飞机，因为飞机可能会坠毁。

然而，Radcliffe警告称：“随着这些设备变得更为先进，并最终直接或间接连接到互联网，风险水平会显著上升。这项研究突显了等待供应商、监管机构和研究人员全面解决这些复杂设备的重要性。”

在公开这些问题之前，Radcliffe与Animas及其母公司强生合作，帮助他们了解漏洞并制定应对方案。这与一种名为MedSec的公司形成鲜明对比，后者最近选择将关于St Jude Medical心脏设备漏洞的信息提供给投资研究公司，以便该公司做空设备制造商的股票。

近年来，医疗设备安全性已成为安全研究社区的热门话题。一些厂家开始