本篇文章更新時間:2025/12/27
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
內容目錄
當你的醫療器材跑著 Linux 卻違反了 GPL
一個使用者關於 OmniPod Dash 的控訴與背後更大的問題
編輯前言:這篇 Reddit 貼文讓我意識到,當開源與醫療科技相遇時,最可怕的不是技術落後,而是企業完全無視使用者的權利與安全。這篇筆記整理自 The device that controls my insulin pump uses the Linux kernel. It also violates the GPL。
核心觀點 (Key Takeaways)
- OmniPod Dash 的控制器(PDM)使用 Android/Linux kernel,但 Insulet 與 ODM 廠商 Nuu 拒絕提供 GPLv2 所要求的 kernel 原始碼。
- 裝置採用 極度過時的 kernel 3.18.19 與 Android Marshmallow,等於 EOL 超過 7-8 年,存在大量安全風險。
- PDM 缺乏基本安全機制,例如 AVB 或分割區驗證,任何人都可透過 MicroUSB + mtkclient 重新刷機,對一個醫療器材來說相當驚人。
深入解析
故事的主角是一位依賴 OmniPod Dash 的 1 型糖尿病患者。他在使用替換的 PDM 裝置時發現,這台醫療器材其實就是一台改過外殼的 Nuu A1+ Android 手機。因為熟悉客製 ROM,他自然地對其系統一探究竟,結果看到了一連串令人意外的細節。
原文提到:「They run Android. Which uses the Linux kernel… it was 3.18.19, which is very ancient and kinda surprising for a medical device.」
更驚人的是:當他依照 GPLv2 的規範向 Insulet 及 ODM Nuu 索取 kernel 原始碼時,兩邊都完全拒絕。他多次詢問、反覆跟進,得到的答案從模糊搪塞到明確拒絕,全都不符合 GPL 的法律義務。
1. GPLv2 與醫療設備的衝突點
從法律角度,GPLv2 非常明確:
使用 Linux kernel,就必須提供對應的 kernel 原始碼。
對一般手機廠商來說,這是一個基本義務;但當蘋果變成醫療等級設備廠商時,他們似乎把開源義務視為可有可無。
2. 過時到危險的系統版本
PDM 上的 Android 與 kernel 版本都已 EOL 7-8 年,且該裝置透過 Bluetooth 控制胰島素幫浦。對一個涉及生命安全的產品而言,這等同於把一個未補丁的系統連上你的血糖管理系統。
使用者指出:「everything about this device is a massive security hole」。
更甚者:PDM 甚至沒有基本的分割區驗證,意味著任何人只要能接觸到設備,就能完整取代其系統。
3. 拒絕分享原始碼背後的問題
主角提出一點頗有意思:Insulet 顯然做過 bootloader 與 kernel 的客製,因為 Nuu A1+ 原生的 boot.img 已無法在新版 PDM 上運作。這暗示 Insulet 擁有修改後的 kernel 原始碼,卻選擇不公開。
這不是不知道,而是選擇違反 GPL。
筆者心得與啟發
讀完這篇故事,我最大的感受是:
醫療科技與開源精神之間的距離,比想像中更遠。
醫療設備的安全不只是硬體與體驗,而是整體系統的透明度。以 Linux 為基礎並不是問題,真正的問題是:
- 廠商不願遵守開源授權
- 裝置維護與更新被忽視
- 使用者缺乏資訊揭露與保護
特別是當這些設備關乎生命時,這種態度更令人不安。
這篇文章讓我想到:
如果一個 210 億美金的公司連最基本的安全與 GPL 義務都做不到,我們該如何相信他們在其他面向上是負責的?
從實際面來看,我會建議:
- 糖尿病患者與技術社群可以持續公開討論此議題,讓壓力不斷累積。
- 若你是開發者或熟悉 FOSS 法規的人,可以考慮協助向 GPL 違規組織(如 FSF、SFC)回報。
- 使用者也可以要求 Insulet 提供更正式的說明與公開承諾。
整體來說,這不是單一設備的問題,而是整個產業與使用者權利的問題。如果連 Linux kernel 這種最基本的授權都能被忽視,那其他更關鍵的部分,我們真的也無法假設它們做得更好。