大學專家表示，沒有決定性證據(jù)表明設備會變“磚”。

密歇根大學研究人員針對MedSec提出的一項聲明提出了疑問。原聲明中稱，St Jude Medical公司的植入式心臟起搏器和除顫器有可能遭到遠程入侵。

近期，MedSec公開發(fā)表了一篇報告，稱St Jude Medical銷售的生命維持裝置有可能遭到黑客的遠程入侵。具體來說，黑客可以通過遠程發(fā)送惡意信號，讓設備變“磚”，或者將其電量耗盡。

MedSec并沒有幫助制造商修復該問題，而是聯(lián)手投資公司Muddy Waters Capital做空了St Jude的股票。這使得這對伙伴能夠在公布漏洞消息的同時通過公司股票價格的下跌獲利。

St Jude稱MedSec的指控“錯誤且有誤導性”。

現(xiàn)在，密歇根大學表示MedSec報告中描述的一些安全漏洞并不像人們一開始擔心的那樣嚴重。大學研究人員嘗試實地測試MedSec的攻擊，而目前獲得的一個案例證明，安全公司St Jude給出的證據(jù)存在漏洞。

“我們的意思并不是報告是假的。我們說它不是決定性的，因為證據(jù)并不支持結論。我們能夠在不制造安全問題的情況下生成報告中所描述的情況。”

Archimedes醫(yī)療設備安全中心的計算機科學和工程負責人、密歇根大學計算機科學副教授Kevin Fu說。

“對首席工程師而言，它可能看上去十分嚴重，但是對于門診醫(yī)生而言，它就像是最開始以為黑客控制了你的電腦，后來卻發(fā)現(xiàn)你只是忘記了插上鍵盤。”

MedSec的報告包括了一張關于心臟除顫器無線監(jiān)控站錯誤信息的圖片，作為基于無線信號的攻擊成功摧毀植入式設備的證據(jù)。當監(jiān)控站對除顫器進行操作時，錯誤的信息會顯示出來，代表著設備已經(jīng)死去，因為它沒有再傳出實地信號。檔案中說：

許多情況下，這種崩潰攻擊讓Cardiac設備徹底失去響應，對來自Merlin@home設備和Merlin程序員的查詢請求沒有回復。因此，無法確定Cardiac設備是否還在運行。Medsec極端懷疑它們在一些情況下是“變磚”了：無法響應。有可能是醫(yī)生選擇了不植入對編程人員響應的設備。

有的時候，遭受崩潰攻擊的Cardiac設備仍舊能夠與程序員通信，此時屏幕顯示出的信息令人警惕。

密歇根大學的團隊則指出，被植入的起搏器或除顫器能夠，且將會繼續(xù)正常運行，即便是在監(jiān)控站顯示信息錯誤的情況下也是如此。

換句話說，沒有決定性的證據(jù)能夠說明起搏器或者除顫器在無線信號被干擾之后停止了運作。對于用戶而言，這更像是一種煩人的情況，而不是致命的。

Fu 表示：“我們相信起搏器的運作是正常的。”

Muddy Waters發(fā)言人對媒體表示：“顯然操作的目的不是讓攻擊重現(xiàn)。”MedSec拒絕對此事發(fā)表評論。有媒體認為，如果通訊是被暫時阻斷的，那么將很難判斷情況的嚴重程度。另外一方面，如果無線干擾阻止了所有植入式設備和監(jiān)控站之間的通訊，那么將有可能需要醫(yī)生介入修復，但這并不是最理想的情況。不過，始終要記住，沒有硬證據(jù)能支持設備“變磚”的說法，是MedSec強烈的炒作讓這件事發(fā)生的。

這就是上周的可怕頭條的背后故事。

盡管醫(yī)療設備制造商必須提升產(chǎn)品的安全性， 大叫著天塌了也是毫無建設意義的。醫(yī)療網(wǎng)絡安全的核心是安全和風險管理，歸根結底，使用醫(yī)療設備的患者總要比沒有使用的人安全得多。

密歇根大學研究人員仍舊在檢查MedSec報告。在結論出來之前，可能還會有更多發(fā)現(xiàn)甚至改進。與此同時，這個案例在計算機安全行業(yè)內(nèi)引起了不小的震動，但這只是因為MedSec公司不怎么正統(tǒng)的手段毫無必要地驚嚇了使用St Jude產(chǎn)品的用戶。

應用安全提供商Arxan Technologies公司CTo Sam Rehman對媒體表示：“我個人的看法是，從倫理上講，很難理解為什么人們要經(jīng)歷這些。安全產(chǎn)業(yè)的任務是通過保護系統(tǒng)來建立信任。”