德国研究人员于HITCON公开胰岛素泵浦的蓝牙传输漏洞，骇客可从中进行中间人攻击

糖尿病的情况台湾相当可说是相当严重，根据国家卫生研究院《2019台湾糖尿病年鉴》，盛行率已经超过11%，患者人数超过230万人，而能协助他们稳定提供胰岛素的泵浦（insulin pump）装置，一旦存在资安漏洞，影响层面便会相当广泛，例如，去年美敦力（Medtronic）为此召回他们售出的胰岛素泵浦。不过，这类装置的漏洞在台湾鲜少有资安专家探讨，直到今年台湾骇客年会（HITCON）上，有德国讲者透过视讯会议，在台湾首度讲解这种泵浦存在的漏洞，呼吁资安界重视这种设备的资讯安全。

ERNW资安分析师暨研究员Julian Suleder表示，这项漏洞的研究动机，是德国资安办公室（German Federal Office for Information Security，BSI）于2018年底发起的ManiMed专案（Manipulation of Medical Devices），委由ERNW资安实验室来检测韩国业者Sooil所推出的Dana Diabecare RS。

此次进行研究的Dana Diabecare RS，可说是具有时下此类设备的主要特色。Julian Suleder表示，这款胰岛素泵浦的主打特色，就是可借由蓝牙低电压协定（BLE）连接智能手机，让病人能使用AnyDANA手机App操作这台泵浦。再者，Julian Suleder指出，这款装置是具有程式开发能力的病人所喜爱的产品之一，他们会为此打造专属的行动应用程序，也有开发者将自己的App公开于GitHub供其他使用者下载，或是进一步制作人工肝脏系统（Artificial Pancreas Systems，APS）等。

ManiMed是BSI针对连网医疗器材的网络安全风险，企图在设备制造商、资安研究员，以及主管机关之间，建立彼此信赖的沟通与合作管道，进而提升这些设备的资讯安全。

此次ERNW的研究发现，这款胰岛素泵浦存在着采用容易被猜到的预设PIN码，再加上与手机之间的蓝牙交握所采用的加密金钥强度不足，以及使用者身份验证机制极为薄弱等现象，他们于2019年8月透过BSI通报之后，Sooil在同年10月22日向德国当局提交修补固件，2020年4月Sooil首度正式向欧洲用户提供相关固件，次月德国联邦药物与医疗器材研究所（Federal Institute for Drugs and Medical Devices，BfArM）亦发布安全性矫正行动（Field Safety Corrective Action，FSCA），来公告此事。而这次ERNW不仅在台湾骇客年会揭露他们的发现，同一天（9月11日）也在网站上提供完整的报告内容。

从ERNW提供的漏洞通报时程来看，厂商自获报后到提供修正版固件的时间大约接近2个月，经遇德国主管机关验证后，使用者实际能够取得新版固件的时间已是隔年4月，长达半年，突显医疗器材审查与验证的流程相当费时。

泵浦与手机之间的通讯，以及使用者验证机制都存在显著弱点

ERNW究竟发现了那些可被利用的弱点呢？Julian Suleder指出，主要可以区分为胰岛素泵浦与手机应用程序蓝牙通讯的防护不足，以及缺乏资安意识的PIN码规划等2个层面。

Julian Suleder表示，手机与泵浦之间的蓝牙连线过程，防护机制明显有所不足，例如，交握过程所需的金钥，是透过固定的规则产生，他举例像是以泵浦里的时间为产生金钥的依据，而且是透过明文传送给手机，导致可能被攻击者破解，进而冒充使用者的行动装置来与泵浦连线并进行控制，形成所谓的中间人攻击。

ERNW在Dana Diabecare RS发现的漏洞中，较为严重的还是与蓝牙通讯有关，他们也展示概念性验证攻击（PoC）的影片，攻击者透过蓝牙与胰岛素泵浦连接后，可从中窜改设定，导致使用者无法透过泵浦面板操作。（影片来源／ERNW）

在蓝牙通讯的漏洞之余，Julian Suleder也提及厂商对于PIN码组态的轻忽。例如，键盘锁定的PIN码预设是0000，而修改组态的PIN码则是3022，但后者必须透过厂商协助才能调整，使用者无法自行变更。再者，在搭配智能手机之后，ERNW发现，如果使用者透过手机应用程序AnyDANA操作，来更动键盘锁定PIN码，这项工作的流程竟全部在手机执行，胰岛素泵浦本身没有参与验证，换言之，这种情况下攻击者仍然可以使用旧的PIN码来解锁泵浦。

胰岛素泵浦厂商对于PIN码身份验证机制的疏忽，也同样隐含弱点，只是和前述的蓝牙漏洞相比，攻击者往往需要实际接触泵浦才能滥用。