Malware que desliga o LED da webcam e grava vídeo, demonstrado em um ThinkPad X230

 (github.com/xairy)
2 pontos por GN⁺ 2024-11-28 | 1 comentários | Compartilhar no WhatsApp
  • Este repositório contém ferramentas que permitem controlar por software o LED da webcam de um ThinkPad X230
  • Foi criado para demonstrar a possibilidade de um malware gravar vídeo pela webcam mesmo sem acesso físico
  • Adiciona a capacidade de controlar o LED arbitrariamente ao regravar o firmware da webcam via USB
  • Essa abordagem pode potencialmente afetar muitos outros notebooks

Ferramentas

  • srom.py: Lê e grava o firmware SROM de webcams baseadas em Ricoh R5U8710 via USB. Como a webcam carrega o firmware SROM apenas durante a inicialização, para carregar o firmware atualizado é necessário desligar completamente o notebook e ligá-lo novamente.
  • patch_srom.py: Aplica um patch na imagem SROM da webcam FRU 63Y0248 para adicionar um implante genérico. É necessário modificá-lo para uso com a imagem SROM original da webcam do X230.
  • fetch.py: Busca via USB o conteúdo dos espaços de memória IRAM, XDATA e CODE por meio de um implante de segundo estágio carregado dinamicamente através do implante genérico.
  • led.py: Liga ou desliga o LED da webcam sobrescrevendo, por meio do implante genérico, o valor do endereço 0x80 em XDATA.

Dumps de memória

  • srom/x230.bin: Conteúdo SROM do módulo original de webcam do X230.
  • srom/63Y0248.bin: Conteúdo SROM do módulo de webcam FRU 63Y0248.
  • code/63Y0248.bin: Conteúdo do espaço de memória CODE extraído do módulo de webcam FRU 63Y0248. A boot ROM está abaixo do offset 0xb000 e é idêntica à boot ROM do módulo original de webcam do X230.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-11-28
Comentários do Hacker News
  • O LED da câmera deveria estar ligado à alimentação e sempre acender; se puder ser controlado por firmware, isso cria um problema de segurança
  • O microfone preocupa mais do que a câmera. No macOS, um indicador aparece na barra de menus quando o microfone está em uso, mas seria melhor se isso fosse impossível de hackear no hardware
  • No ThinkPad X1 Carbon Gen 8, é possível gravar vídeo com o LED da webcam apagado. Há um interruptor físico chamado ThinkShutter, mas, se usado incorretamente, ele pode apagar só o LED e não cobrir a lente
  • A maioria dos LEDs de webcam deveria estar ligada em série com a alimentação da câmera. Um design de LED controlável por software é problemático
  • Nos dispositivos modernos, os microfones não têm LED nem interruptor, então são um problema ainda maior que as câmeras. Eles podem coletar informações sensíveis com facilidade
  • Os notebooks da Lenovo têm um botão deslizante que cobre fisicamente a câmera. Isso também afeta o driver, fazendo o Windows reconhecer a câmera como desconectada
  • Câmera e microfone precisam de interruptores físicos. Interruptores por software não são confiáveis. Quando não estão em uso, eu desconecto a câmera e o microfone
  • São necessários interruptores físicos que possam controlar individualmente a alimentação do microfone e da câmera. Isso poderia ser tão simples quanto o botão de silenciar do iPhone
  • O notebook X230 ainda é muito usado. Os teclados mais recentes da Lenovo têm qualidade inferior. A linha T14s é menos portátil
  • Muita gente usa tampas para webcam para proteger a privacidade. O microfone é mais difícil de bloquear
  • Isso já é um problema conhecido há muito tempo na comunidade de segurança. O X230 é um modelo antigo; espero que isso tenha sido corrigido nos modelos mais novos