Исследователь в области безопасности Андрей Коновалов обнаружил, что светодиодом веб-камеры ThinkPad X230 можно управлять с помощью программного обеспечения, даже не имея физического доступа к ноутбуку. Он создал набор инструментов, чтобы продемонстрировать, что вредоносное ПО может удалённо отключать светодиод веб-камеры ноутбука ThinkPad X230.
Андрей Коновалов в своей презентации «Выключение света: скрытое отключение светодиодного индикатора веб-камеры ThinkPad» подробно рассказывает о том, как он обнаружил уязвимость в веб-камере ThinkPad X230, которая позволяет злоумышленнику управлять светодиодом удалённо, без физического доступа к ноутбуку
Он утверждает, что это возможно, потому что веб-камера подключается к ноутбуку через USB, а светодиод соединён с контактом на микросхеме контроллера камеры, которым можно управлять с помощью встроенного ПО.
Это открытие вызывает опасения по поводу возможных нарушений конфиденциальности, поскольку вредоносное ПО потенциально может записывать видео без ведома пользователя.
Как работает эксплойт
Эксплойт основан на том факте, что прошивку веб-камеры можно обновить через USB. В прошивке есть раздел под названием SROM, который находится на микросхеме SPI на плате веб-камеры. Переписав SROM модифицированной прошивкой, можно получить контроль над различными аспектами работы веб-камеры, включая светодиод.
Коновалов смог определить, что светодиод на веб-камере X230 подключен к контакту GPIO B1 контроллера USB-камеры Ricoh R5U8710. Этот контакт сопоставлен с адресом 0x80 в пространстве памяти XDATA процессора контроллера на базе 8051. Изменив прошивку, чтобы изменить значение по этому адресу, можно включить или выключить светодиод.
Методология исследования
Андрей Коновалов использовал USB-фаззинг для обнаружения этой уязвимости.
USB-фаззинг — это метод, используемый для поиска уязвимостей в программном или аппаратном обеспечении, которое взаимодействует через USB. Он заключается в отправке большому количеству целевых устройств недействительных или неожиданных USB-запросов и наблюдении за их поведением.
Коновалов создал специальную программу для перепрошивки прошивки веб-камеры через USB и предотвращения необратимого повреждения веб-камеры в процессе фаззинга.
Инструменты
Андрей обнаружил эту уязвимость при тестировании USB-интерфейса веб-камеры. Он разработал набор инструментов, которые позволяют:
- Чтение и запись части прошивки SROM веб-камеры Ricoh R5U8710 через USB.
- Исправляет изображение SROM для добавления универсального имплантата.
- Загрузка содержимого памяти IRAM, XDATA или CODE через USB.
- Включение или выключение индикатора веб-камеры.
Вы можете найти все инструменты в его репозитории на GitHub.
Последствия для других ноутбуков
Тот же подход, который использовался для управления светодиодом на ThinkPad X230, потенциально применим и к другим ноутбукам. Многие производители ноутбуков используют USB для внутреннего подключения веб-камер и позволяют перепрошивать встроенное ПО. Если светодиод не напрямую связан с питанием сенсора камеры, а управляется через встроенное ПО, он может быть подвержен аналогичным манипуляциям.
Коновалов предлагает производителям оборудования подключать светодиод веб-камеры к датчику включения питания камеры, чтобы устранить эту уязвимость.
Рекомендации для пользователей ноутбуков
Хотя перепрошивка прошивки веб-камеры — сложный процесс, существует реальная угроза того, что вредоносное ПО воспользуется этой уязвимостью.
Вот несколько рекомендаций для пользователей ноутбуков:
- Физические крышки для веб-камер: рассмотрите возможность использования физической крышки для веб-камеры, когда она не используется. Это простой и эффективный способ закрыть объектив камеры.
- Отключите встроенную веб-камеру: если вы не используете камеру, лучше полностью отключить веб-камеру.
- Следите за поведением светодиода: обращайте внимание на любое необычное поведение светодиода веб-камеры. Если светодиод не горит, когда камера должна быть активна, это может указывать на неисправность.
- Обновляйте программное обеспечение: убедитесь, что ваша операционная система и программное обеспечение для обеспечения безопасности обновлены, чтобы устранить потенциальные уязвимости.
Это исследование показывает, что даже такие, казалось бы, безобидные функции, как светодиоды на веб-камерах, могут быть использованы в злонамеренных целях. Пользователи должны знать о возможности нарушения конфиденциальности и принимать соответствующие меры для своей защиты.