Webcam LED’ini kapatıp video kaydeden kötü amaçlı yazılım, ThinkPad X230 üzerinde gösterildi

 (github.com/xairy)
2 puan yazan GN⁺ 2024-11-28 | 1 yorum | WhatsApp'ta paylaş
  • Bu depo, ThinkPad X230’un webcam LED’ini yazılımla kontrol edebilen araçlar içeriyor
  • Fiziksel erişim olmadan da webcam üzerinden video kaydedebilen kötü amaçlı yazılımların mümkün olduğunu göstermek için oluşturuldu
  • USB üzerinden webcam firmware’ini yeniden flash’layarak LED’in keyfi şekilde kontrol edilmesini sağlayan bir özellik ekleniyor
  • Bu yaklaşımın başka birçok dizüstü bilgisayarı da etkileme ihtimali var

Araçlar

  • srom.py: Ricoh R5U8710 tabanlı webcam’in SROM firmware’ini USB üzerinden okur ve yazar. Webcam, SROM firmware’ini yalnızca açılışta yüklediği için, güncellenmiş firmware’i yüklemek üzere dizüstü bilgisayarı tamamen kapatıp yeniden açmak gerekir.
  • patch_srom.py: FRU 63Y0248 webcam’in SROM imajını patch’leyerek genel amaçlı implant ekler. Orijinal X230 webcam SROM imajıyla kullanmak için değiştirilmesi gerekir.
  • fetch.py: Genel amaçlı implant üzerinden dinamik olarak yüklenen ikinci aşama implant aracılığıyla IRAM, XDATA, CODE bellek alanlarının içeriğini USB üzerinden alır.
  • led.py: Genel amaçlı implant üzerinden XDATA içindeki 0x80 adresinin değerini ezerek webcam LED’ini açar veya kapatır.

Bellek dökümleri

  • srom/x230.bin: Orijinal X230 webcam modülünün SROM içeriği.
  • srom/63Y0248.bin: FRU 63Y0248 webcam modülünün SROM içeriği.
  • code/63Y0248.bin: FRU 63Y0248 webcam modülünden sızdırılan CODE bellek alanının içeriği. Boot ROM, 0xb000 ofsetinin altında yer alır ve orijinal X230 webcam modülünün boot ROM’u ile aynıdır.

İlgili okumalar

1 yorum

 
GN⁺ 2024-11-28
Hacker News görüşleri
  • Kamera LED’i güce bağlı olmalı ve her zaman yanmalıdır; eğer firmware ile kontrol edilebiliyorsa bu bir güvenlik sorunu yaratır
  • Kameradan çok mikrofon daha endişe verici. macOS, mikrofon kullanımında menü çubuğunda bir ışık gösteriyor ama donanımsal olarak hack’lenemez olması daha iyi olurdu
  • ThinkPad X1 Carbon Gen 8’de webcam LED’i kapatılarak kayıt yapılabiliyor. ThinkShutter adlı fiziksel bir anahtar var, ancak yanlış kullanılırsa yalnızca LED kapanıp lens kapanmayabilir
  • Çoğu webcam LED’i kamera gücüne seri bağlı olmalıdır. Yazılımla kontrol edilebilen LED tasarımı sorunludur
  • Modern cihazlardaki mikrofonlar, LED ya da anahtarları olmadığı için kameralardan daha büyük bir sorun. Hassas bilgileri kolayca toplayabilirler
  • Lenovo dizüstülerde kamerayı fiziksel olarak kapatan kaydırmalı bir düğme bulunuyor. Bu, sürücüyü de etkileyerek Windows’un kamerayı bağlantısı kesilmiş olarak algılamasını sağlıyor
  • Kamera ve mikrofon için fiziksel anahtarlar gerekli. Yazılım anahtarlarına güvenilemez. Kullanılmadığında kamera ve mikrofonun bağlantısını kesiyorum
  • Mikrofon ve kameranın gücünü ayrı ayrı kontrol edebilen fiziksel anahtarlar gerekli. Bu, iPhone’daki sessize alma anahtarı kadar basit olabilir
  • X230 dizüstü hâlâ yaygın olarak kullanılıyor. Lenovo’nun yeni klavyelerinin kalitesi daha düşük. T14s serisi ise taşınabilirlik açısından daha zayıf
  • Mahremiyeti korumak için webcam kapağı kullanan çok kişi var. Mikrofonu engellemek daha zor
  • Güvenlik topluluğunda bu uzun zamandır bilinen bir sorun. X230 eski bir model; umarım bu sorun daha yeni modellerde çözülmüştür