Malware, das die Webcam-LED ausschaltet und Videos aufzeichnet, auf einem ThinkPad X230 demonstriert
(github.com/xairy)- Dieses Repository enthält Werkzeuge, mit denen sich die Webcam-LED des ThinkPad X230 per Software steuern lässt
- Es wurde erstellt, um die Möglichkeit von Malware zu demonstrieren, die ohne physischen Zugriff über die Webcam Videos aufzeichnen kann
- Durch erneutes Flashen der Webcam-Firmware über USB wird eine Funktion hinzugefügt, mit der sich die LED beliebig steuern lässt
- Dieser Ansatz könnte potenziell auch viele andere Laptops betreffen
Werkzeuge
- srom.py: Liest und schreibt die SROM-Firmware von Ricoh-R5U8710-basierten Webcams über USB. Die Webcam lädt die SROM-Firmware nur beim Booten, daher muss der Laptop vollständig ausgeschaltet und wieder eingeschaltet werden, um die aktualisierte Firmware zu laden.
- patch_srom.py: Patcht das SROM-Image der FRU-
63Y0248-Webcam, um ein universelles Implantat hinzuzufügen. Für die Verwendung mit dem originalen X230-Webcam-SROM-Image sind Änderungen erforderlich. - fetch.py: Ruft über das universelle Implantat und ein dynamisch hochgeladenes Implantat der zweiten Stufe die Inhalte der Speicherbereiche
IRAM,XDATAundCODEper USB ab. - led.py: Schaltet die Webcam-LED über das universelle Implantat ein oder aus, indem der Wert an Adresse
0x80inXDATAüberschrieben wird.
Speicher-Dumps
- srom/x230.bin: Der SROM-Inhalt des originalen X230-Webcam-Moduls.
- srom/63Y0248.bin: Der SROM-Inhalt des FRU-
63Y0248-Webcam-Moduls. - code/63Y0248.bin: Der Inhalt des aus dem FRU-
63Y0248-Webcam-Modul extrahiertenCODE-Speicherbereichs. Das Boot-ROM befindet sich unterhalb des Offsets0xb000und ist identisch mit dem Boot-ROM des originalen X230-Webcam-Moduls.
1 Kommentare
Hacker-News-Kommentare