Un malware qui désactive la LED de la webcam et enregistre de la vidéo, démontré sur un ThinkPad X230
(github.com/xairy)- Ce dépôt contient des outils permettant de contrôler par logiciel la LED de la webcam d’un ThinkPad X230
- Il a été créé pour montrer la possibilité d’un malware capable d’enregistrer de la vidéo via la webcam sans accès physique
- Il ajoute la capacité de contrôler arbitrairement la LED en reflasant le firmware de la webcam via USB
- Cette approche pourrait aussi affecter de nombreux autres ordinateurs portables
Outils
- srom.py : lit et écrit le firmware SROM des webcams basées sur le Ricoh R5U8710 via USB. La webcam ne charge le firmware SROM qu’au démarrage, il faut donc éteindre complètement puis rallumer l’ordinateur portable pour charger le firmware mis à jour.
- patch_srom.py : patche l’image SROM de la webcam FRU
63Y0248pour y ajouter un implant générique. Des modifications sont nécessaires pour l’utiliser avec l’image SROM originale de la webcam du X230. - fetch.py : récupère via USB le contenu des espaces mémoire
IRAM,XDATAetCODEà l’aide d’un implant de deuxième étape chargé dynamiquement via l’implant générique. - led.py : allume ou éteint la LED de la webcam en écrasant la valeur à l’adresse
0x80dansXDATAvia l’implant générique.
Dumps mémoire
- srom/x230.bin : contenu SROM du module webcam X230 d’origine.
- srom/63Y0248.bin : contenu SROM du module webcam FRU
63Y0248. - code/63Y0248.bin : contenu de l’espace mémoire
CODEextrait du module webcam FRU63Y0248. La boot ROM se trouve sous l’offset0xb000et est identique à celle du module webcam X230 d’origine.
1 commentaires
Avis Hacker News