Malware que apaga el LED de la webcam y graba video, demostrado en una ThinkPad X230

 (github.com/xairy)
2 puntos por GN⁺ 2024-11-28 | 1 comentarios | Compartir por WhatsApp
  • Este repositorio incluye herramientas que permiten controlar por software el LED de la webcam de una ThinkPad X230
  • Fue creado para demostrar la posibilidad de malware que puede grabar video a través de la webcam sin acceso físico
  • Agrega la capacidad de controlar el LED arbitrariamente al volver a flashear el firmware de la webcam mediante USB
  • Este enfoque podría afectar también a muchas otras laptops

Herramientas

  • srom.py: Lee y escribe el firmware SROM de webcams basadas en Ricoh R5U8710 a través de USB. La webcam solo carga el firmware SROM durante el arranque, por lo que para cargar el firmware actualizado es necesario apagar completamente la laptop y volver a encenderla.
  • patch_srom.py: Parchea la imagen SROM de la webcam FRU 63Y0248 para agregar un implante genérico. Requiere modificaciones para usarse junto con la imagen SROM original de la webcam X230.
  • fetch.py: Recupera por USB el contenido de los espacios de memoria IRAM, XDATA y CODE mediante un implante de segunda etapa cargado dinámicamente a través del implante genérico.
  • led.py: Enciende o apaga el LED de la webcam sobrescribiendo el valor de la dirección 0x80 en XDATA mediante el implante genérico.

Volcados de memoria

  • srom/x230.bin: Contenido SROM del módulo de webcam X230 original.
  • srom/63Y0248.bin: Contenido SROM del módulo de webcam FRU 63Y0248.
  • code/63Y0248.bin: Contenido del espacio de memoria CODE extraído del módulo de webcam FRU 63Y0248. La ROM de arranque está debajo del desplazamiento 0xb000 y es idéntica a la ROM de arranque del módulo de webcam X230 original.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-11-28
Comentarios en Hacker News
  • El LED de la cámara debería estar conectado a la alimentación y permanecer siempre encendido; si puede controlarse por firmware, eso genera un problema de seguridad
  • El micrófono preocupa más que la cámara. macOS muestra una luz en la barra de menú cuando el micrófono está en uso, pero sería mejor que fuera algo imposible de vulnerar a nivel de hardware
  • En la ThinkPad X1 Carbon Gen 8 es posible grabar con el LED de la webcam apagado. Existe un interruptor físico llamado ThinkShutter, pero si se usa mal, solo se apaga el LED y la lente no queda cubierta
  • La mayoría de los LED de las webcams deberían estar conectados en serie con la alimentación de la cámara. Un diseño de LED controlable por software es problemático
  • Los micrófonos en los dispositivos modernos no tienen LED ni interruptor, así que son un problema aún mayor que la cámara. Pueden recopilar información sensible con facilidad
  • Las laptops Lenovo tienen un botón deslizante que cubre físicamente la cámara. Esto también afecta al driver, por lo que Windows reconoce la cámara como desconectada
  • La cámara y el micrófono necesitan interruptores físicos. No se puede confiar en los interruptores por software. Cuando no se usan, se desconectan la cámara y el micrófono
  • Se necesitan interruptores físicos que permitan controlar por separado la alimentación del micrófono y de la cámara. Esto podría ser tan simple como el interruptor de silencio del iPhone
  • La laptop X230 todavía se sigue usando mucho. Los teclados más recientes de Lenovo han bajado de calidad. La serie T14s tiene peor portabilidad
  • Mucha gente usa cubiertas para webcam para proteger su privacidad. El micrófono es más difícil de bloquear
  • En la comunidad de seguridad esto se conoce desde hace mucho tiempo. La X230 es un modelo antiguo, y se espera que este problema se haya resuelto en los modelos más recientes