新的起搏器固件更新解決了漏洞

針對(duì)雅培公司(以前的St. Jude Medical公司)植入式心臟起搏器中發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞，美國食品和藥物管理局于8月29日發(fā)布了固件更新。

它的目標(biāo)讀者被闡明了。他們是具有射頻(RF)功能的St. Jude Medical植入式起搏器的患者; 具有射頻功能的St. Jude Medical植入式心臟起搏器患者的相關(guān)護(hù)理人員; 心臟病專家，電生理學(xué)家，心胸外科醫(yī)生和初級(jí)保健醫(yī)生使用射頻功能的St. Jude Medical植入式心臟起搏器治療患有心力衰竭或心律失常的患者。

“雅培發(fā)布了植入式心臟起搏器的更新，作為其不斷改進(jìn)患者護(hù)理的持續(xù)承諾的一部分。此計(jì)劃更新起搏器固件(一種軟件)增加了額外的安全保護(hù)措施，旨在降低未經(jīng)授權(quán)訪問患者心臟起搏器的風(fēng)險(xiǎn)。 “

雅培8月29日新聞發(fā)布會(huì)上說，“更新中包含的軟件版本，其中包括數(shù)據(jù)加密，操作系統(tǒng)補(bǔ)丁和能力禁用網(wǎng)絡(luò)連接性的特點(diǎn)，除了固件更新。”

雅培新聞稿還列出了這些產(chǎn)品。

St. Jude Medical網(wǎng)站提供了患者指南常見問題解答的鏈接。

該裝置植入皮膚下有電線(“引線”)進(jìn)入的心臟，旨在提供起搏慢或不規(guī)則的心臟節(jié)律。

美國食品和藥物管理局的更新說：“這種通信不適用于任何植入式心臟除顫器(ICD)或心臟再同步化ICD(CRT-Ds)。”

美國食品和藥物管理局解釋說：“2017年8月23日，F(xiàn)DA批準(zhǔn)了現(xiàn)在可用的固件更新，旨在作為召回，特別是糾正措施，以降低因某些雅培可能利用網(wǎng)絡(luò)安全漏洞而導(dǎo)致患者受到傷害的風(fēng)險(xiǎn)(以前是St. Jude Medical)心臟起搏器。“

與此同時(shí)，美國國土安全部的官方網(wǎng)站也發(fā)布了8月29日的一份咨詢報(bào)告，其中稱“第三方安全研究公司已經(jīng)證實(shí)新的固件版本可以緩解已發(fā)現(xiàn)的漏洞。”

在漏洞描述中，國土安全部的顧問表示，他們可以通過相鄰的網(wǎng)絡(luò)進(jìn)行攻擊。“可利用性取決于攻擊者是否足夠靠近目標(biāo)起搏器以允許射頻通信。”

固件更新從8月29日開始提供，因此從8月28日開始制造的任何心臟起搏器都已經(jīng)預(yù)先加載了設(shè)備中的更新，而不需要更新。

“固件基本上是硬件的軟件，對(duì)于患者而言，更新應(yīng)該比為新的防黑客設(shè)備進(jìn)行手術(shù)更容易解決，” The Verge的 Natt Garun說。

正如BBC報(bào)告所指出的那樣，允許心臟起搏器以無線方式發(fā)送和接收數(shù)據(jù)的好處是患者可以將它們與家中的家用發(fā)射器配對(duì)，監(jiān)測(cè)患者睡眠時(shí)的設(shè)備，從而可能提醒他們出現(xiàn)醫(yī)療問題。

FDA表示，固件更新需要與醫(yī)療保健提供者進(jìn)行面對(duì)面的患者就診。它不能通過Merlin.net從家里完成。DHS顧問還指出，固件更新可以通過醫(yī)療保健提供商的Merlin PCS Programmer應(yīng)用于植入式起搏器。

FDA固件更新說：“安裝此更新后，任何試圖與植入起搏器通信的設(shè)備都必須提供授權(quán).Merlin Programmer和Merlin @ home Transmitter將提供此類授權(quán)。”

此外，F(xiàn)DA固件更新建議患者和醫(yī)療保健提供者在下次定期訪問時(shí)討論網(wǎng)絡(luò)安全漏洞的風(fēng)險(xiǎn)和益處以及此更新以解決漏洞。

FDA和雅培都不建議預(yù)防性切除和更換受影響的設(shè)備。

更新涉及一個(gè)過程，大約需要3分鐘才能完成設(shè)備在備份模式下運(yùn)行。維持生命的功能仍然存在。完成后，設(shè)備將返回其更新前的設(shè)置。

來自FDA固件更新通信：“St. Jude Medical已經(jīng)開發(fā)并驗(yàn)證了此固件更新，作為其所有RF啟動(dòng)的起搏器設(shè)備(包括心臟再同步心臟起搏器)的糾正措施(召回).FDA已批準(zhǔn)St. Jude Medical的固件更新，以確保它解決這些網(wǎng)絡(luò)安全漏洞，并降低利用和隨后的患者傷害的風(fēng)險(xiǎn)。“

雅培于8月29日表示，它“向醫(yī)生通報(bào)其植入式心臟起搏器和除顫器的更新，這是其持續(xù)改善患者護(hù)理的持續(xù)承諾的一部分。”