卡巴斯基实验室专家调查了用于高级仿生假肢的实验云基础设施, 发现了一些先前未知的安全问题,这些问题能够让第三方访问、操纵、盗窃甚至窃取这些设备用户的隐私数据。研究结果与制造商Motorica进行了分享,帮助他们解决相关安全问题。该公司是一家俄罗斯的高科技创业公司,业务是开发仿生上肢假肢来帮助残疾人。
物联网不再仅仅是用来连接智能手表或智能家居,而是涉及高级、复杂和自动化程度更高的生态系统。其中包括互联医疗网络技术。今后, 这类技术可能会从单纯的支持设备转变为主流, 并被热衷于通过网络化过程增强普通人体能力的消费者所使用。因此, 通过调查和解决当前产品及其支持基础结构中的安全问题, 最大限度地减少攻击者可能利用的任何安全风险至关重要。
卡巴斯基实验室工业控制系统网络紧急响应团队(ICS CERT)研究人员与Motorica合作,对这家俄罗斯创业公司开发的数字假肢的测试软件解决方案进行了网络安全评估。该解决方案本身是一个远程云系统,使用一个界面监控所有登记的生物力学设备的状态。它还为其他开发人员提供了现有的工具集,用于分析智能轮椅、人工假肢等设备的技术状况。
初步研究发现了几个安全问题。其中包括不安全的http连接、不正确的账户操作以及输入验证不足。在使用时,假肢会将数据传送到云系统。由于存在安全漏洞,攻击者可以:
访问云端存储的有关所有联网账户的信息(包括所有假肢设备以及管理员的明文登录名和密码)
操纵、添加或删除这些信息
添加或删除他们自己的普通用户或特权用户(具有管理员权限)。
“Motorica是一家值得信赖的,并且有社会责任感的高科技公司,致力于解决身体受损人士面临的挑战。随着公司准备进行增长,我们想要帮助其采取正确的安全措施。我们的分析结果再一次提醒企业,安全性需要从一开始就建立在新技术之上。我们希望其他高级联网设备的开发者能够与安全行业协作,了解和解决设备和系统安全问题,并将设备的安全性视为开发中不可或缺的重要组成部分,”卡巴斯基实验室ICS CERT安全研究员Vladimir Dashchenko说。
“就生物辅助设备方面,新技术正在将我们带入一个新的世界。对于此类技术的开发人员来说, 与网络安全解决方案提供商协作至关重要。这能够让我们提高这些设备的安全性,甚至让理论上对人体进行的攻击都变得不可能,”Motorica公司的首席执行官Ilya Chekh表示。
To keep the devices safe, we advise that companies:
为确保设备安全,我们建议公司采取以下措施:
查看由行业专家提供的相关基于Web和物联网技术的威胁模型和漏洞分类,例如OWASP物联网项目。
基于正常的生命周期,引入安全软件开发实践。使用系统方法来评估现有软件的安全实践,例如OWASP OpenSAMM。
建立获取相关威胁和漏洞信息的程序, 以确保对任何事件做出适当和及时的反应。
定期更新操作系统、应用程序、设备软件以及安全解决方案。
部署网络安全解决方案,在企业网络的边界和OT网络的边界分析网络流量,监测和拦截网络攻击。
使用具有机器学习异常检测(MLAD)技术的保护解决方案来发现物联网设备的异常行为以便及早发现攻击以及设备故障或损坏。
随着仿生技术的发展,发现其可能包含的安全问题并妥善解决这些问题至关重要。为了更好地了解未来能给我们带来什么,卡巴斯基实验室在Earth 2050网站上提供了一系列未来预测。
关于卡巴斯基实验室
卡巴斯基实验室是一家拥有超过20年历史的全球网络安全公司。卡巴斯基实验室不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基实验室技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
关于卡巴斯基实验室ICS CERT
卡巴斯基实验室工业控制系统网络应急响应小组(卡巴斯基实验室ICS CERT)是卡巴斯基实验室于2016年发起的一个全球性项目,旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力,以保护工业企业免受网络攻击。卡巴斯基实验室ICS CERT致力于识别针对工业自动化系统和工业物联网的潜在和现有的威胁。在运营的第一年,该团队确定了全球主要ICS供应商产品中的110多个关键漏洞。卡巴斯基实验室ICS CERT是提供保护工业企业免受网络威胁的建议的国际组织中的积极成员和合作伙伴。www.ics-cert.kaspersky.com
关于Motorica公司
Motorica是一家专注于医学和机器人技术研究和开发的公司。从2014年起,公司一直在开发人工手系统和辅助技术康复系统。Motorica对陈旧的假肢护理观念提出了挑战。该团队教授假肢与用户沟通、上网、执行语音命令以及进行购物。2018年,Motorica启动了基于虚拟现实的康复平台和通过假肢设备 gsm模块收集遥测数据的平台。现在,残疾人已经成为网络技术市场的主要用户,并且将自身弱点转换为优势。更多详情请访问global.motorica.org.
