今年早些时候，安全研究员比利·里奥斯（Billy Rios）曾宣布其发现了在热门药物输注泵上的一个漏洞，而且黑客能够利用该漏洞，将超过药物限值的剂量，输送到患者的身上。遗憾的是，这一声明并没有引起人们应有的关注。此外，由于改变药物的容许范围很简单，因此如果护理者不小心赋值太高或太低，输注泵也不会发出警报。

上图，由Hospira公司生产的药物输注泵，上面带边缘一条红线的灰白色的串行电缆，连接的是主泵板和通讯模块。

在追溯了由同一制造商生产的输注泵之后，里奥斯发现了更加严重的漏洞，其甚至允许黑客暗中或远程更改赋予患者的药剂使用量。

里奥斯在接受《连线》（Wired）采访时表示：“这是我们第一次知道可以改变剂量”。

上图为一台Hospira的Plum A+泵，最初由肯塔基州派克维尔（Pikeville）的一家医院所有，Rios通过线上渠道购买到了它。

该漏洞影响至少五款由Hospira所制造的静脉药物输注泵设备， 这家位于伊利诺伊州的企业，已经将它安装到了世界各地超过40万家医院。

受影响设备的具体型号包括该公司标准的 PCA LifeCare；PCA3 LifeCare和PCA5 LifeCare；2013年停产的Symbiq产品线（因积聚质量和安全问题而被FDA叫停）；以及Plum A+机型（Hospira至少在全球32.5万家医院那里安装了该设备）。

Plum A plus的通讯板模块。

上述是里奥斯已经测试过了的型号，但他严重怀疑Plum A+3和蓝宝石（Sapphire / SapphirePlus）机型亦存在同样的隐患。然而截至目前，Hospira仍未回应外界的置评请求。

该问题源于这些输注泵的“药品库”（drug libraries）无需身份验证，但它对调节“安全剂量”的上下限又有关联。里奥斯发现任何人都可以借由医院里的网络发起攻击（或在互联网上远程操作），加载新的“药品库”并修改限定值。

[编译自：Wired]