十年前，安全研究員巴納比-杰克(Barnaby Jack)在舞臺上當著數(shù)百人的面無線入侵了醫(yī)院的胰島素泵，以證明它是多么容易被入侵以提供致命劑量的藥物。在過去的幾年里，醫(yī)療設備的安全性已經(jīng)得到了改善，盡管偶爾會有一些引人注目的小插曲。但是，研究人員現(xiàn)在發(fā)現(xiàn)較新的醫(yī)院技術存在漏洞，而這些漏洞在十年前還不那么普遍。

　　進入醫(yī)院的機器人，可以在醫(yī)院園區(qū)內(nèi)運送藥物、床單、食物、藥品和實驗室標本。這些機器人配備了運輸關鍵貨物的空間，可以進入醫(yī)院限制區(qū)域和乘坐電梯的安全通道，同時削減了勞動力成本。

　　但是，專注于保護醫(yī)院和醫(yī)療系統(tǒng)安全的網(wǎng)絡安全初創(chuàng)公司Cynerio的研究人員在Aethon機器人中發(fā)現(xiàn)了一組五個從未見過的漏洞，他們說這些漏洞允許惡意黑客遠程劫持和控制這些自動行駛的機器人，而且在某些情況下是通過互聯(lián)網(wǎng)進行控制。

　　這五個漏洞，Cynerio統(tǒng)稱為JekyllBot:5，并不在機器人本身，而是在用于與醫(yī)院和酒店走廊上的機器人通信和控制的基礎服務器。這些漏洞包括允許黑客創(chuàng)建具有高級權限的新用戶，然后登錄并遠程控制機器人和進入限制區(qū)域，使用機器人內(nèi)置的攝像頭窺探病人或客人，或以其他方式造成混亂。

　　基礎服務器有一個網(wǎng)絡界面，可以從醫(yī)院的網(wǎng)絡內(nèi)部訪問，允許"客人"用戶查看實時的機器人攝像機畫面以及他們即將到來的日程安排和當天的任務，而不需要密碼。但是，盡管機器人的功能受到"管理員"賬戶的保護，研究人員說，網(wǎng)絡界面漏洞可能允許黑客與機器人互動，而不需要管理員密碼來登錄。

　　研究人員說，這五個漏洞中的一個暴露了機器人使用網(wǎng)絡界面中的操縱桿式控制器進行遠程控制，而利用另一個漏洞可以與門鎖互動，呼叫和乘坐電梯，以及打開和關閉藥物抽屜。在大多數(shù)情況下，如果對機器人基礎服務器的訪問被限制在本地網(wǎng)絡內(nèi)，只限制登錄的員工訪問，那么潛在的風險是有限的。

　　研究人員說，對于醫(yī)院、酒店或任何其他使用這些機器人的地方來說，風險要大得多，這些機器人的基礎服務器連接到互聯(lián)網(wǎng)，因為這些漏洞可以從互聯(lián)網(wǎng)的任何地方觸發(fā)。Cynerio表示，他們在醫(yī)院以及為退伍軍人提供護理的設施中發(fā)現(xiàn)了暴露于互聯(lián)網(wǎng)的機器人的證據(jù)。Aethon公司在全球數(shù)百家醫(yī)院兜售其機器人，其中許多在美國，大約有數(shù)千臺機器人。

　　在Cynerio提醒Aethon公司注意這些問題后，Aethon公司發(fā)布的一批軟件和固件更新中修復了這些漏洞。據(jù)稱，Aethon已經(jīng)限制了暴露在互聯(lián)網(wǎng)上的服務器，使機器人免受潛在的遠程攻擊，并修復了影響基站的其他網(wǎng)絡相關漏洞。