新的起搏器固件更新解决了漏洞

针对雅培公司(以前的St. Jude Medical公司)植入式心脏起搏器中发现的网络安全漏洞，美国食品和药物管理局于8月29日发布了固件更新。

它的目标读者被阐明了。他们是具有射频(RF)功能的St. Jude Medical植入式起搏器的患者; 具有射频功能的St. Jude Medical植入式心脏起搏器患者的相关护理人员; 心脏病专家，电生理学家，心胸外科医生和初级保健医生使用射频功能的St. Jude Medical植入式心脏起搏器治疗患有心力衰竭或心律失常的患者。

“雅培发布了植入式心脏起搏器的更新，作为其不断改进患者护理的持续承诺的一部分。此计划更新起搏器固件(一种软件)增加了额外的安全保护措施，旨在降低未经授权访问患者心脏起搏器的风险。 “

雅培8月29日新闻发布会上说，“更新中包含的软件版本，其中包括数据加密，操作系统补丁和能力禁用网络连接性的特点，除了固件更新。”

雅培新闻稿还列出了这些产品。

St. Jude Medical网站提供了患者指南常见问题解答的链接。

该装置植入皮肤下有电线(“引线”)进入的心脏，旨在提供起搏慢或不规则的心脏节律。

美国食品和药物管理局的更新说：“这种通信不适用于任何植入式心脏除颤器(ICD)或心脏再同步化ICD(CRT-Ds)。”

美国食品和药物管理局解释说：“2017年8月23日，FDA批准了现在可用的固件更新，旨在作为召回，特别是纠正措施，以降低因某些雅培可能利用网络安全漏洞而导致患者受到伤害的风险(以前是St. Jude Medical)心脏起搏器。“

与此同时，美国国土安全部的官方网站也发布了8月29日的一份咨询报告，其中称“第三方安全研究公司已经证实新的固件版本可以缓解已发现的漏洞。”

在漏洞描述中，国土安全部的顾问表示，他们可以通过相邻的网络进行攻击。“可利用性取决于攻击者是否足够靠近目标起搏器以允许射频通信。”

固件更新从8月29日开始提供，因此从8月28日开始制造的任何心脏起搏器都已经预先加载了设备中的更新，而不需要更新。

“固件基本上是硬件的软件，对于患者而言，更新应该比为新的防黑客设备进行手术更容易解决，” The Verge的 Natt Garun说。

正如BBC报告所指出的那样，允许心脏起搏器以无线方式发送和接收数据的好处是患者可以将它们与家中的家用发射器配对，监测患者睡眠时的设备，从而可能提醒他们出现医疗问题。

FDA表示，固件更新需要与医疗保健提供者进行面对面的患者就诊。它不能通过Merlin.net从家里完成。DHS顾问还指出，固件更新可以通过医疗保健提供商的Merlin PCS Programmer应用于植入式起搏器。

FDA固件更新说：“安装此更新后，任何试图与植入起搏器通信的设备都必须提供授权.Merlin Programmer和Merlin @ home Transmitter将提供此类授权。”

此外，FDA固件更新建议患者和医疗保健提供者在下次定期访问时讨论网络安全漏洞的风险和益处以及此更新以解决漏洞。

FDA和雅培都不建议预防性切除和更换受影响的设备。

更新涉及一个过程，大约需要3分钟才能完成设备在备份模式下运行。维持生命的功能仍然存在。完成后，设备将返回其更新前的设置。

来自FDA固件更新通信：“St. Jude Medical已经开发并验证了此固件更新，作为其所有RF启动的起搏器设备(包括心脏再同步心脏起搏器)的纠正措施(召回).FDA已批准St. Jude Medical的固件更新，以确保它解决这些网络安全漏洞，并降低利用和随后的患者伤害的风险。“

雅培于8月29日表示，它“向医生通报其植入式心脏起搏器和除颤器的更新，这是其持续改善患者护理的持续承诺的一部分。”