มัลแวร์ที่ปิดไฟ LED เว็บแคมและบันทึกวิดีโอได้ สาธิตบน ThinkPad X230

 (github.com/xairy)
2 คะแนน โดย GN⁺ 2024-11-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ที่เก็บนี้มีเครื่องมือที่สามารถควบคุมไฟ LED ของเว็บแคมบน ThinkPad X230 ผ่านซอฟต์แวร์ได้
  • สร้างขึ้นเพื่อแสดงให้เห็นความเป็นไปได้ของมัลแวร์ที่สามารถบันทึกวิดีโอผ่านเว็บแคมได้โดยไม่ต้องมีการเข้าถึงเครื่องทางกายภาพ
  • เพิ่มความสามารถในการควบคุม LED ได้ตามต้องการด้วยการแฟลชเฟิร์มแวร์เว็บแคมใหม่ผ่าน USB
  • แนวทางนี้มีแนวโน้มว่าจะส่งผลกระทบต่อแล็ปท็อปอื่น ๆ อีกจำนวนมาก

เครื่องมือ

  • srom.py: อ่านและเขียนเฟิร์มแวร์ SROM ของเว็บแคมที่ใช้ Ricoh R5U8710 ผ่าน USB เว็บแคมจะโหลดเฟิร์มแวร์ SROM เฉพาะตอนบูตเท่านั้น ดังนั้นหากต้องการโหลดเฟิร์มแวร์ที่อัปเดตแล้ว ต้องปิดเครื่องโน้ตบุ๊กให้สนิทแล้วเปิดใหม่
  • patch_srom.py: แพตช์อิมเมจ SROM ของเว็บแคม FRU 63Y0248 เพื่อเพิ่ม implant แบบทั่วไป ต้องมีการแก้ไขหากจะใช้ร่วมกับอิมเมจ SROM ของเว็บแคม X230 รุ่นเดิม
  • fetch.py: ดึงเนื้อหาของพื้นที่หน่วยความจำ IRAM, XDATA, CODE ผ่าน USB โดยใช้ implant ระยะที่สองที่อัปโหลดแบบไดนามิกผ่าน implant แบบทั่วไป
  • led.py: เปิดหรือปิดไฟ LED ของเว็บแคมโดยเขียนทับค่าที่แอดเดรส 0x80 ใน XDATA ผ่าน implant แบบทั่วไป

ดัมพ์หน่วยความจำ

  • srom/x230.bin: เนื้อหา SROM ของโมดูลเว็บแคม X230 รุ่นเดิม
  • srom/63Y0248.bin: เนื้อหา SROM ของโมดูลเว็บแคม FRU 63Y0248
  • code/63Y0248.bin: เนื้อหาของพื้นที่หน่วยความจำ CODE ที่ดึงออกมาจากโมดูลเว็บแคม FRU 63Y0248 โดย Boot ROM อยู่ที่ออฟเซ็ตต่ำกว่า 0xb000 และเหมือนกับ Boot ROM ของโมดูลเว็บแคม X230 รุ่นเดิม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-11-28
ความคิดเห็นจาก Hacker News
  • ไฟ LED ของกล้องควรเชื่อมกับแหล่งจ่ายไฟและต้องติดอยู่ตลอดเมื่อกล้องทำงาน แต่ถ้าควบคุมได้ด้วยเฟิร์มแวร์ก็จะกลายเป็นปัญหาด้านความปลอดภัย
  • น่ากังวลเรื่องไมโครโฟนมากกว่ากล้องเสียอีก macOS จะแสดงไฟในแถบเมนูเมื่อมีการใช้ไมโครโฟน แต่ถ้ามีการป้องกันระดับฮาร์ดแวร์ที่แฮ็กไม่ได้จะดีกว่า
  • บน ThinkPad X1 Carbon Gen 8 สามารถปิดไฟ LED เว็บแคมแล้วบันทึกวิดีโอได้ มีสวิตช์จริงชื่อ ThinkShutter อยู่ แต่ถ้าใช้งานผิดก็อาจปิดแค่ LED โดยไม่ได้บังเลนส์
  • โดยทั่วไปไฟ LED ของเว็บแคมควรต่ออนุกรมกับไฟเลี้ยงของกล้อง การออกแบบ LED ที่ให้ซอฟต์แวร์ควบคุมได้ถือเป็นปัญหา
  • ไมโครโฟนในอุปกรณ์สมัยใหม่ไม่มีทั้ง LED หรือสวิตช์ จึงเป็นปัญหาใหญ่กว่ากล้อง สามารถเก็บข้อมูลอ่อนไหวได้ง่าย
  • โน้ตบุ๊ก Lenovo มีปุ่มเลื่อนสำหรับปิดบังกล้องแบบกายภาพ ซึ่งยังมีผลกับไดรเวอร์ด้วย ทำให้ Windows มองว่ากล้องถูกถอดออกแล้ว
  • กล้องและไมโครโฟนควรมีสวิตช์แบบกายภาพ สวิตช์ซอฟต์แวร์เชื่อถือไม่ได้ เมื่อไม่ใช้งานก็ควรถอดกล้องและไมโครโฟนออก
  • ควรมีสวิตช์แบบกายภาพที่ควบคุมไฟเลี้ยงของไมโครโฟนและกล้องแยกกันได้ ซึ่งอาจทำให้เรียบง่ายเหมือนสวิตช์ปิดเสียงของ iPhone
  • โน้ตบุ๊ก X230 ยังมีคนใช้อีกมาก คีย์บอร์ดรุ่นใหม่ของ Lenovo คุณภาพด้อยลง ส่วนซีรีส์ T14s ก็พกพาไม่สะดวกนัก
  • หลายคนใช้ฝาปิดเว็บแคมเพื่อปกป้องความเป็นส่วนตัว แต่ไมโครโฟนปิดกั้นได้ยากกว่า
  • ในชุมชนด้านความปลอดภัย เรื่องนี้เป็นปัญหาที่รู้กันมานานแล้ว X230 เป็นรุ่นเก่า จึงหวังว่าในรุ่นใหม่จะมีการแก้ไขปัญหานี้แล้ว