Malware, das die Webcam-LED ausschaltet und Videos aufzeichnet, auf einem ThinkPad X230 demonstriert

 (github.com/xairy)
2 Punkte von GN⁺ 2024-11-28 | 1 Kommentare | Auf WhatsApp teilen
  • Dieses Repository enthält Werkzeuge, mit denen sich die Webcam-LED des ThinkPad X230 per Software steuern lässt
  • Es wurde erstellt, um die Möglichkeit von Malware zu demonstrieren, die ohne physischen Zugriff über die Webcam Videos aufzeichnen kann
  • Durch erneutes Flashen der Webcam-Firmware über USB wird eine Funktion hinzugefügt, mit der sich die LED beliebig steuern lässt
  • Dieser Ansatz könnte potenziell auch viele andere Laptops betreffen

Werkzeuge

  • srom.py: Liest und schreibt die SROM-Firmware von Ricoh-R5U8710-basierten Webcams über USB. Die Webcam lädt die SROM-Firmware nur beim Booten, daher muss der Laptop vollständig ausgeschaltet und wieder eingeschaltet werden, um die aktualisierte Firmware zu laden.
  • patch_srom.py: Patcht das SROM-Image der FRU-63Y0248-Webcam, um ein universelles Implantat hinzuzufügen. Für die Verwendung mit dem originalen X230-Webcam-SROM-Image sind Änderungen erforderlich.
  • fetch.py: Ruft über das universelle Implantat und ein dynamisch hochgeladenes Implantat der zweiten Stufe die Inhalte der Speicherbereiche IRAM, XDATA und CODE per USB ab.
  • led.py: Schaltet die Webcam-LED über das universelle Implantat ein oder aus, indem der Wert an Adresse 0x80 in XDATA überschrieben wird.

Speicher-Dumps

  • srom/x230.bin: Der SROM-Inhalt des originalen X230-Webcam-Moduls.
  • srom/63Y0248.bin: Der SROM-Inhalt des FRU-63Y0248-Webcam-Moduls.
  • code/63Y0248.bin: Der Inhalt des aus dem FRU-63Y0248-Webcam-Modul extrahierten CODE-Speicherbereichs. Das Boot-ROM befindet sich unterhalb des Offsets 0xb000 und ist identisch mit dem Boot-ROM des originalen X230-Webcam-Moduls.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-11-28
Hacker-News-Kommentare
  • Die Kamera-LED sollte mit der Stromversorgung verbunden sein und daher immer leuchten; wenn sie per Firmware steuerbar ist, entsteht ein Sicherheitsproblem.
  • Das Mikrofon ist besorgniserregender als die Kamera. macOS zeigt bei Mikrofonnutzung zwar ein Licht in der Menüleiste an, aber eine hardwareseitig nicht hackbare Lösung wäre besser.
  • Beim ThinkPad X1 Carbon Gen 8 ist es möglich, bei ausgeschalteter Webcam-LED aufzuzeichnen. Es gibt zwar einen physischen Schalter namens ThinkShutter, aber bei falscher Nutzung wird womöglich nur die LED ausgeschaltet, ohne dass das Objektiv abgedeckt wird.
  • Die meisten Webcam-LEDs sollten in Reihe mit der Stromversorgung der Kamera geschaltet sein. Ein LED-Design, das sich per Software steuern lässt, ist problematisch.
  • Mikrofone in modernen Geräten sind ein noch größeres Problem als Kameras, weil ihnen oft LED oder Schalter fehlen. So lassen sich sensible Informationen leicht sammeln.
  • Lenovo-Laptops haben einen Schiebeschalter, der die Kamera physisch abdeckt. Das wirkt sich auch auf den Treiber aus, sodass Windows die Kamera als getrennt erkennt.
  • Kamera und Mikrofon brauchen physische Schalter. Software-Schalter sind nicht vertrauenswürdig. Wenn sie nicht genutzt werden, werden Kamera und Mikrofon getrennt.
  • Es braucht physische Schalter, mit denen sich die Stromversorgung von Mikrofon und Kamera jeweils einzeln steuern lässt. Das könnte so einfach sein wie der Stummschalter beim iPhone.
  • Das X230-Laptop wird immer noch viel genutzt. Die neueren Tastaturen von Lenovo sind qualitativ schlechter. Die T14s-Serie ist weniger portabel.
  • Viele Menschen schützen ihre Privatsphäre mit einer Webcam-Abdeckung. Das Mikrofon ist schwerer zu blockieren.
  • In der Sicherheits-Community ist das schon lange ein bekanntes Problem. Das X230 ist ein altes Modell, und man hofft, dass dieses Problem bei neueren Modellen behoben wurde.