Un malware qui désactive la LED de la webcam et enregistre de la vidéo, démontré sur un ThinkPad X230

 (github.com/xairy)
2 points par GN⁺ 2024-11-28 | 1 commentaires | Partager sur WhatsApp
  • Ce dépôt contient des outils permettant de contrôler par logiciel la LED de la webcam d’un ThinkPad X230
  • Il a été créé pour montrer la possibilité d’un malware capable d’enregistrer de la vidéo via la webcam sans accès physique
  • Il ajoute la capacité de contrôler arbitrairement la LED en reflasant le firmware de la webcam via USB
  • Cette approche pourrait aussi affecter de nombreux autres ordinateurs portables

Outils

  • srom.py : lit et écrit le firmware SROM des webcams basées sur le Ricoh R5U8710 via USB. La webcam ne charge le firmware SROM qu’au démarrage, il faut donc éteindre complètement puis rallumer l’ordinateur portable pour charger le firmware mis à jour.
  • patch_srom.py : patche l’image SROM de la webcam FRU 63Y0248 pour y ajouter un implant générique. Des modifications sont nécessaires pour l’utiliser avec l’image SROM originale de la webcam du X230.
  • fetch.py : récupère via USB le contenu des espaces mémoire IRAM, XDATA et CODE à l’aide d’un implant de deuxième étape chargé dynamiquement via l’implant générique.
  • led.py : allume ou éteint la LED de la webcam en écrasant la valeur à l’adresse 0x80 dans XDATA via l’implant générique.

Dumps mémoire

  • srom/x230.bin : contenu SROM du module webcam X230 d’origine.
  • srom/63Y0248.bin : contenu SROM du module webcam FRU 63Y0248.
  • code/63Y0248.bin : contenu de l’espace mémoire CODE extrait du module webcam FRU 63Y0248. La boot ROM se trouve sous l’offset 0xb000 et est identique à celle du module webcam X230 d’origine.

À lire aussi

1 commentaires

 
GN⁺ 2024-11-28
Avis Hacker News
  • La LED de la caméra devrait toujours être allumée puisqu’elle est reliée à l’alimentation ; si elle peut être contrôlée par le firmware, cela pose un problème de sécurité
  • Le micro est plus inquiétant que la caméra. macOS affiche un indicateur lumineux dans la barre de menus quand le micro est utilisé, mais il vaudrait mieux quelque chose d’impossible à pirater au niveau matériel
  • Sur le ThinkPad X1 Carbon Gen 8, il est possible d’enregistrer une vidéo en éteignant la LED de la webcam. Il existe bien un interrupteur physique appelé ThinkShutter, mais en cas de mauvaise utilisation, seule la LED s’éteint sans que l’objectif soit couvert
  • La plupart des LED de webcam devraient être câblées en série avec l’alimentation de la caméra. Une conception où la LED est contrôlable par logiciel est problématique
  • Les micros des appareils modernes n’ont ni LED ni interrupteur, ce qui en fait un problème plus grave que la caméra. Ils permettent de collecter facilement des informations sensibles
  • Les ordinateurs portables Lenovo ont un cache coulissant qui masque physiquement la caméra. Cela affecte aussi le pilote, si bien que Windows considère la caméra comme déconnectée
  • La caméra et le micro ont besoin d’interrupteurs physiques. On ne peut pas faire confiance aux interrupteurs logiciels. Quand ils ne sont pas utilisés, certains débranchent la caméra et le micro
  • Il faudrait des interrupteurs physiques permettant de contrôler séparément l’alimentation du micro et de la caméra. Cela pourrait être aussi simple que le commutateur de mise en sourdine d’un iPhone
  • Les portables X230 sont encore très utilisés. Les claviers récents de Lenovo sont de moins bonne qualité. La série T14s est moins pratique à transporter
  • Beaucoup de gens utilisent des caches webcam pour protéger leur vie privée. Le micro, lui, est plus difficile à bloquer
  • C’est un problème connu depuis longtemps dans la communauté sécurité. Le X230 est un ancien modèle, et on espère que le problème a été corrigé sur les modèles récents