11月18日,全球顶尖信息安全国际会议CodeBlue在东京隆重召开。中科数测研究院安全专家携重磅议题****《When X-Rays Become Hacker Weapons: How I Crashed DICOM Systems With Malformed Medical Images》(当X射线成为黑客武器:我如何用畸形医学图像瘫痪DICOM系统)**** 在Biohacking Village Labs进行演讲,以真实技术验证为基础,向全球安全同行揭开了医疗影像系统鲜为人知的安全隐患,展现了中国安全企业在医疗cybersecurity领域的硬核实力。
CodeBlue舞台:全球安全精英的"巅峰对话"
作为享誉全球的信息安全盛会,CodeBlue自创办以来便以"汇聚顶尖智慧、筑牢数字防线"为使命。与传统多会场并行的会议模式不同,CodeBlue采用"单轨道"演讲机制,将所有核心议题集中呈现,这意味着每个登台的议题都经过组委会的严苛筛选,必须具备技术前瞻性、场景真实性和行业影响力。中科数测研究院的议题能从众多申报项目中脱颖而出,足以证明其研究成果的国际认可度。此次大会,中科数测首席科学家董坤、安全研究院院长李立东、安全研究院专家丁孝峥受邀出席。
硬核议题:当X光成为黑客武器,我如何用畸形的医学图像击溃DICOM系统
中科数测研究院丁孝峥系统讲解了DICOM协议的核心架构、在医疗影像采集、传输、存储全流程中的应用场景,同时详细介绍了模糊测试(Fuzzing)这一关键技术手段的原理与实践方法。他指出,DICOM协议作为医疗影像传输的国际标准,已被全球大部分影像设备厂商采用,但该协议在设计之初更侧重数据传输的兼容性,对恶意数据的校验机制存在先天不足,这为后续攻击提供了可乘之机。
随后,团队成员董坤专家聚焦漏洞本身展开深度解析,结合现场演示视频还原了漏洞利用的完整链路------这正是本次议题的核心:针对医疗系统的DICOM协议攻击及畸形医学图像攻击实践。他指出,研究团队基于真实临床场景,构建了包含影像设备、PACS服务器、诊断工作站的全链路测试环境,利用团队自主研发的模糊测试工具Swift Fuzzer,对DICOM协议的图像数据字段进行畸形化处理。演示视频中清晰显示,当这张"问题X光片"被诊断医生导入系统时,瞬间触发服务器内存溢出漏洞,导致整个PACS系统陷入瘫痪,所有影像数据无法调取,诊断流程全面中断。
行业警示:医疗数据安全事故离我们并不远
中科数测的研究成果并非危言耸听,近年来全球医疗行业的数据安全事故已呈高发态势。就在不久前,美国大型门诊医疗影像服务商SimonMed Imaging遭遇勒索软件攻击,200GB敏感数据被窃取,超过120万患者的姓名、诊断报告、保险信息等核心隐私面临泄露风险,攻击者更是索要100万美元赎金。
行业分析指出,随着AI辅助诊断、云端影像共享等技术的普及,医疗影像设备的联网率已从5年前的30%飙升至如今的85%以上,而数据安全建设却普遍滞后于业务发展。中科数测披露的DICOM系统漏洞,正是这一行业痛点的集中体现------当医院将精力聚焦于影像诊断精度提升时,却忽视了"一张X光片引发的系统危机"。
中国力量:中科数测的安全担当
中科数测深耕软件应用安全领域,构建了模糊测试、固件安全、AI对抗等多维度的核心技术体系,其产品已服务于特种行业、智能网联汽车、金融等多个关键领域。此次亮相CodeBlue,不仅是中国医疗安全技术走向国际的重要标志,更彰显了本土企业"发现漏洞、解决漏洞、守护行业"的责任担当。
中科数测的研究成果为全球医疗信息化安全提供了全新视角,其基于真实场景的漏洞验证方法,为行业安全标准制定提供了重要参考。在数字化转型的浪潮中,医疗安全已不再是单纯的技术问题,更关乎千万患者的生命健康。中科数测在东京CodeBlue的精彩亮相,让世界看到中国安全企业的技术实力,更为全球医疗影像系统安全防护点亮了"中国方案"。未来,随着更多本土企业的崛起,中国必将在全球cyberseurity领域占据更核心的位置。