在过去几个月，圣犹达医疗（St.Jude Medical）一直否认其IoT医疗设备存在问题，而日前圣犹达医疗终于针对其物联网（IoT）医疗设备的安全漏洞发布修复程序以及指导信息。

这些修复程序修复了Merlin@home数据传输器中的漏洞，这是圣犹达医疗公司对植入式起搏器和除颤器设备的远程监控系统。在圣犹达医疗公司发布安全更新的同一天，美国食品和药物管理局（FDA）和美国国土安全局工业控制系统网络紧急响应小组分别发表声明详细介绍了这些漏洞，并对医疗提供商、患者和照料者提供了建议。

“FDA已经审查了圣犹达医疗公司Merlin@home数据传输器相关的潜在网络安全漏洞信息，并确认这些漏洞的存在。如果这些漏洞被利用，可能允许未经授权用户（即患者医生以外的人员）通过挑战Merlin@home 数据传输器来远程访问患者植入心脏装置，”FDA在其声明中指出，“调整后的Merlin@home数据传输器随后可被用于修改对植入设备的编程命令，这可能导致电池快速耗尽和/或施加不适当的起搏或搏击。”

这些易受攻击的医疗IoT设备最初是由安全研究机构MedSec在2016年8月发现。MedSec联手投资研究机构Muddy Waters Capital向公众发表文章披露了这些设备漏洞；安全漏洞包括 Merlin@home数据传输器远程监控系统使用的射频协议加密中存在的漏洞，以及设备存在后门程序。

然而，当时，圣犹达医疗机构否认了这种漏洞的存在，随后对MedSec和Muddy Waters提起诉讼，指控他们通过虚假医疗设备安全信息对其实施诽谤。该诉讼仍然在进行中。

圣犹达医疗公司被指责在最初披露五个月后都没有解决易受攻击设备问题，MedSec首席执行官兼总监Justine Bone在声明中称圣犹达医疗公司是“特别好斗和不友善的供应商”。

Muddy Waters的声明同样也严厉批评了圣犹达医疗机构发布的修复程序，“他们发布的补丁似乎不能解决很多较大的问题，包括存在的通用代码可允许攻击者控制植入装置”。

圣犹达医疗公司的声明强调此漏洞对医疗设备仅带来“极低的网络安全风险”，他们建议Merlin@home数据传输器用户确保将其打开并连接到互联网，以便它可接收自动补丁下载。

放眼大局

在FDA发布一般医疗设备网络安全指南后，他们又紧接着发布了处理圣犹达医疗设备漏洞的指南。联网设备是日益重要的安全问题，FDA专注于通用IoT设备安全，特别是IoT设备安全。

FDA的Suzanne Schwartz写道：“现在医疗设备都开始连接到医院的网络或者甚至连接到患者家里互联网，我们看到医疗护理方面巨大的技术进步，同时，网络安全泄露事故的风险也显著增加，这可能会影响设备的性能和功能。”

美国联邦委员会也在试图解决联网设备相关的安全风险，例如他们近日发起竞赛来创建保护家庭IoT设备的工具。