BLE医疗设备中患者安全的风险

在我们的两部分系列的第二部分中，我们探讨了蓝牙低能通信芯片组固有的风险，这些风险可以直接影响产品功能和患者安全。

在这个两部分博客系列的第一部分中，我们讨论了蓝牙低能（BLE）规格的开发（单击这里首先回去阅读）。在第二部分中，我们将专注于保护BLE医疗设备。

网络安全和医学互联网

对于连接的医疗设备，网络攻击是对患者安全的巨大威胁。例如，针对BLE无线电接口的攻击会干扰IOMT设备的基本性能，这可能会损害或潜在地杀死患者。此类漏洞已经在支持蓝牙的医疗设备中发现，导致广泛宣传的披露，强制性缓解和设备召回。最具影响力的例子之一是Sweyntooth漏洞这影响了许多BLE IOMT设备。影响是如此严重，以至于FDA发布了安全通信对于医疗设备制造商而言，如果触发了其中一个漏洞，则警告遇到的危险 - 可能会崩溃，僵局和冻结设备，甚至使攻击者能够绕过其安全保障。

Sweyntooth（以及其他类似漏洞）的最大教训是，它使制造商意识到供应链中的上游脆弱性。就像漏洞一样，医疗设备制造商没有编写有缺陷的代码。实际上，他们没有意识到自己的存在。他们只是从可信赖的，著名的电子组件制造商那里采购了芯片（SOC）上的蓝牙系统，并将其包含在其设备中。SOC提供了脆弱性。在产品运输之前，根本没有进行的安全测试足够，这使其所包含的所有系统处于危险之中。

用协议模糊探索隐藏的漏洞

Sweyntooth漏洞影响了几家经验丰富的制造商，包括Texas Instruments，NXP，Cypress，对话框半导体，微芯片，Stmicroelectronics和Telink半导体。这么多不同的制造商受到影响？问题在于，漏洞被隐藏在协议堆栈中，这使得它们难以检测和诊断。尽管安全社区已经开发了一系列发现应用程188bet网址怎么打不开序级漏洞的最佳实践，包括可以通过应用程序软件和库进行交叉检查的威胁库的常见策略和数据库，但协议级别的漏洞很难确定。实际上，只有一种方法可以充分测试这类漏洞：一种被称为协议模糊的详尽测试机制。

用外行的术语，协议模糊涉及将各种错误注入通信交换中，以使连接另一端的实体混淆并将其置于错误状态。这可能涉及相当简单的错误，例如发送数据包的多个副本，或者可能导致协议的更复杂的损坏。这里有一些例子：

• 指示连接开始和结束的标志可以在一个数据包中设置。
• 数据包中的字段可能太大或太小。
• 可以将数据包中的字段设置为无效的值。
• 可以将数据包运送出订单。

在许多情况下，在建立安全性，加密和其他通信参数的连接开始时发生的“握手”是剥削的简单目标。由于远程设备是根据握手期间建立的设置进行配置的，因此需要手动重置的特殊损坏的数据包（或数据包序列）可能会导致关闭或通信错误。

在最坏的情况下，攻击者可以针对握手本身，如CVE-2019-19194。由于握手建立了安全性和加密参数，因此攻击者可以绕过通常会限制某些操作并实现对系统任意控制的控件。特别是对于IOMT设备，这可能会产生明显和灾难性的影响。攻击者可以指示设备报告不正确的遥测数据，忽略其他命令，违反患者隐私规则，通过向未经授权的系统报告数据，甚至可以管理潜在的致命药物剂量。

在启用BLE的IOMT设备中确保协议级别的漏洞

显然，这种类型的脆弱性是医疗设备制造商的一个严重关注，这反映了FDA在美国的重点以及全球类似的监管审查。但是，保护连接设备的最佳方法是什么？对于初学者来说，这意味着实施验证和验证策略以识别SOC协议堆栈中的漏洞。制造商需要作为最后的防御。毕竟，它们是迅速分发警告通信，缓解策略以及对患者和护理提供者受影响设备的补救固件更新的障碍者。而且，如上所述，即使是资源最合理的供应商也无法免疫脆弱的芯片组。

但是，安全是一段旅程，而不是目的地。因此，至少，设备制造商必须在产品发布前坚持芯片组供应商的补救更新。而且，与此同时，他们还必须自己对其设备进行广泛的协议模糊评估，同时包括FDA预售批准清算中的验证和验证策略。Keysight可以帮助解决此过程；在发展我们的同时物联网安全评估可以找到应用程序和协议层漏洞的产品，我们开发了一种获得专利的智能模糊算法，可以显着加速协议模糊过程。在直观的点击UI的驱动下，即使没有广泛安全背景的人也会发现隐藏的漏洞。

随着IOMT设备的BLE连接变得越来越普遍，协议模糊验证将在维持患者安全和信任推进技术方面变得更加关键。幸运的是，协议模糊工具包变得越来越广泛，更易于使用 - 即使对于几乎没有网络安全经验的优质控制团队也是如此。鉴于芯片组供应商可能需要花费时间来彻底繁殖，诊断，补救和验证漏洞，因此现在已经开始在开发管道中测试产品的过程。一个人只需要看到Sweyntooth即可看到后来发现的脆弱性，这是补救的影响越代价。