醫(yī)療心臟起搏器 遠(yuǎn)程定時炸彈？

在最新的一集美劇《國土安全》中，主角Brody把副總統(tǒng)心臟起搏器的序列號告訴恐怖分子Nazir，直接導(dǎo)致副總統(tǒng)的起搏器錯誤工作，殺人于無形。這種方法，真的是可能的嗎?病人最貼近的保護(hù)神，會不會突然變成被遙控的定時炸彈?從原理上講，這也許并不是天馬行空的藝術(shù)想象。

心臟起搏器是一種醫(yī)療器械，被用于心臟疾病的治療。確切的說，通常是用于那些罹患慢速心律失常的患者的治療，比如病態(tài)竇房結(jié)綜合征、高度房室傳導(dǎo)阻滯、房顫伴R-R長間歇等等。在發(fā)病時，患者的心跳會突然減慢，如降低到每分鐘30跳左右，這將會嚴(yán)重威脅到他們的生命安全。而起搏器的作用，簡單來說，就是在此刻短促多次的觸發(fā)電脈沖刺激心肌，帶動心臟按照預(yù)先設(shè)定的頻率跳動，從而達(dá)到挽救生命的目的。

1932年，美國生理學(xué)家阿爾伯特•海曼在前人研究的基礎(chǔ)上，將一個電子裝置裝在了自己的身上，并連接一部手搖發(fā)電機(jī)，從而制造出了第一臺有實用價值的心臟起搏器，“心臟起搏器”這個名字也從此沿用至今。當(dāng)然，這種裝置顯然太過笨重，只能用于住院治療的患者。1958年，美國工程師厄爾•巴克制造出了第一臺體積、重量都較小，可以隨身攜帶的心臟起搏器，這才讓心臟起搏器迅速推廣開來。

最初的心臟起搏器都是掛在體外的，通過貼在胸口上的片狀電極發(fā)揮作用;或是用細(xì)小的針狀電極植入到皮下，通過電線連接體外的電池盒。這種做法，則可能為日后的感染留下隱患，因此后續(xù)的研究，就著眼于延長電池的壽命?，F(xiàn)在的科學(xué)技術(shù)，已經(jīng)能做到讓心臟起搏器里的電池正常工作10年以上，患者一次手術(shù)植入后，就能持續(xù)享受它的保護(hù)很長時間。

隨著電子技術(shù)的不斷進(jìn)步，如今的心臟起搏器也更加小巧、功能更強(qiáng)大。它們能夠監(jiān)測患者的心跳情況并記錄在案，甚至通過特定的傳感器，將這些數(shù)據(jù)通過網(wǎng)絡(luò)發(fā)送給醫(yī)生;這些數(shù)據(jù)可以為醫(yī)生針對不同患者的情況調(diào)整治療方案，更好的實現(xiàn)個性化治療;也會根據(jù)患者的心跳情況，在預(yù)設(shè)的治療模式中實時選擇，確保電刺激的效果。有了它的保護(hù)，心律失?；颊呔透矣谠诎滋鞆氖聭敉饣顒?，在夜晚安然入睡，而不用隨時提心吊膽自己什么時候發(fā)病了。在1992-2002年這十年中，美國就有260萬臺以上的心臟起搏器和心臟除顫器被植入患者體內(nèi)。

隱藏的危險

然而，任何技術(shù)的進(jìn)步都會帶來新的問題，心臟起搏器也不例外。一般認(rèn)為，高強(qiáng)度的電磁場，對于佩戴植入式心臟起搏器的患者而言是不安全的。大到有核磁共振的房間，小到家用電磁爐，都可能干擾到起搏器的正常工作，給患者的健康帶來危險。這些算是明槍易躲，而隨著無線射頻技術(shù)的發(fā)展，另一種風(fēng)險也在悄悄襲來，卻是暗箭難防。

今年5月，在美國國土安全部(Department of Homeland Security)發(fā)表的一份報告中，援引麻省大學(xué)的一項研究，對植入式心臟除顫器(ICD)、起搏器等植入式治療設(shè)備(Implantable Medical Devices, IMD)的使用提出了預(yù)警。

這方面的研究中，特別值得一提的是2011年8月在拉斯維加斯舉行的一次“黑帽”研討會(Black Hat conference，或稱黑客研討會)。在這次會議上，來自于McAfee公司的安全工程師杰伊•拉德克里夫(Jay Radcliffe)通過無線設(shè)備和自己的筆記本電腦，成功的遙控了46米外的一臺自動注射泵。如果某個糖尿病患者正佩戴著這臺注射泵，操縱者就可以命令它頻繁、大劑量的向佩戴者的體內(nèi)注入胰島素，使他因為血糖太低而昏迷乃至死亡。

實際上，這臺價值6000美元的注射泵屬于杰伊自己。作為一個糖尿病人，他已經(jīng)佩戴注射泵達(dá)11年之久，這讓他感到不寒而栗。“你掌握了設(shè)備的控制權(quán)，就等于掌握了你身體里的化學(xué)物質(zhì)的控制權(quán)。”

而由哈佛大學(xué)醫(yī)學(xué)院的威廉姆•梅塞爾(William H. Maisel)教授等人于公布的一項結(jié)果中，對ICD的安全性進(jìn)行了評估。

劇中副總統(tǒng)用的起搏器

他們發(fā)現(xiàn)，在幾米遠(yuǎn)的距離上，通過一臺未經(jīng)制造商授權(quán)的設(shè)備及軟件，就可以對一臺ICD進(jìn)行控制。比如，他們可以檢測到一個從設(shè)備幾米外經(jīng)過的病人是否帶有ICD，可以讀出它的序列號，甚至讀取它其中儲存的患者心跳數(shù)據(jù);更可怕的是，還能改變儀器的設(shè)置、命令其放電或停止放電。倘若這是一臺正在患者身體里工作的植入式治療設(shè)備，其結(jié)果可想而知，甚至進(jìn)行文中開頭提到的那樣隱秘的暗殺，也不是不可能的。而心臟起搏器的工作原理與ICD并無本質(zhì)差別，上述研究恐怕對于起搏器也是一個巨大的預(yù)警。

該研究中使用的ICD，與外部控制器之間使用的是175kHz頻率的通訊，作用距離較短;但新型的ICD等設(shè)備，普遍兼容175kHz和402-405MHz的植入醫(yī)療設(shè)備通訊頻率(MICS)，后者的通訊距離則要長得多。這樣，患者家中的傳感器可以方便的與之通訊，及時把數(shù)據(jù)傳給醫(yī)生，但也為心懷叵測的入侵者提供了更便利的條件。(但像劇中那樣真正從一個不知道在哪里的電腦直接遙控，應(yīng)該還需要一個實時連接到互聯(lián)網(wǎng)上的起搏器)

仔細(xì)看看?這個起搏器上的圖例說明，只有把盒子里的圓頭貼在起搏器上，才可以通過電腦操縱起搏器。

有進(jìn)攻，就有防守

那么，面臨這樣恐怖的風(fēng)險，是不是就無法應(yīng)對了呢?答案顯然也是否定的，我們能夠做的防御手段，還相當(dāng)?shù)亩?。首先，低安全系?shù)的設(shè)備來自于制造商的安全意識缺乏。實際上，上述用于試驗的設(shè)備，普遍都沒有任何信息安全措施，連最簡單的信號加密和口令問答都沒有，才讓黑客們?nèi)缛霟o人之境。而現(xiàn)在的射頻技術(shù)中，信息往往都是 加密傳輸?shù)?，在技術(shù)上實現(xiàn)安全控制并無困難。這樣，即便入侵者成功的與IMD進(jìn)行了通訊，其發(fā)出的指令信號也會因為對不上“暗號”而被系統(tǒng)拒絕，無法肆意妄為。

WISP-射頻信號報警裝置

同時，可以對IMD設(shè)備中預(yù)先固化一部分安全程序，對于極端的指令拒絕執(zhí)行。比如，在胰島素自動注射泵中，就可以加入一項安全檢查指令，當(dāng)短時間內(nèi)累計注射的胰島素達(dá)到一定劑量，或者是單次注射的劑量超過安全范圍，就自動停止注射，這也能夠讓黑客們的目標(biāo)難以實現(xiàn)。

實際上，從硬件層面增加安全性，也是一個相當(dāng)好的方法。例如，一個簡單的按鈕開關(guān)，就可以擋住那些非法讀取IMD數(shù)據(jù)、篡改IMD設(shè)置的企圖，既經(jīng)濟(jì)又可靠。

另外，還可以采用一些主動防御的手段。在梅塞爾教授的研究中，他們就嘗試制造了一個簡單的防御裝置：這個被稱為“無線識別和感知平臺”的裝置其實很寒酸，但效果卻非常的好。研究人員將其包裹在牛肉之中，然后用之前入侵ICD的實驗裝置靠近牛肉，結(jié)果WISP成功的識別出了這些連續(xù)的射頻通訊信號并蜂鳴報警。如果這樣的系統(tǒng)掛在植入了心臟起搏器的患者的脖子上或口袋里，當(dāng)附近存在有意或無意的射頻通訊信號時，它就能提醒患者及時躲開相關(guān)區(qū)域，讓那些不懷好意的人無計可施。

而由美國普度大學(xué)、普林斯頓大學(xué)的聯(lián)合研究小組研發(fā)的防御裝置，可能要更復(fù)雜一些。這個叫做MedMon(“醫(yī)學(xué)監(jiān)控”)的裝置可以對周圍的無線射頻信號進(jìn)行多層次的分析，如果判斷有可能會危害IMD的信號存在，就會及時報警。這個和WISP一樣，都可謂是釜底抽薪的方案。

另外，對于那些心臟狀況不是非常非常差的患者來說，在起搏器遭到攻擊后，如果及時搶救，并且迅速斷開被破壞的起搏器，安裝臨時起搏器的話，應(yīng)該還是有很大機(jī)會救命的。(這么來看劇中Brody要等到總統(tǒng)完蛋才叫醫(yī)生還是有必要的……)

實際上，高科技在帶來更便利的生活時，也總都會給犯罪分子提供新的可乘之機(jī)，這本身沒有什么奇怪的。而立法者、執(zhí)法者及其技術(shù)盟友們要做的，就是用高科技手段來堵塞這些漏洞，保護(hù)民眾的安全。這不僅要有技術(shù)層面的改進(jìn)，更依賴于公眾安全意識的增強(qiáng)。借用王大偉教授的話來說，“人防、物防，還得加上心防”。