De fleste webkameraer har et advarselslys, der indikerer, hvornår de er aktive, men det er muligt for malware at deaktivere dette vigtig privatlivsfunktion på ældre Mac-computere, ifølge forskning fra Johns Hopkins University (JHU) i Baltimore.
JHU Assistant Research Professor Stephen Checkoway og kandidatstuderende Matthew Brocker undersøgte hardwaredesignet af den første generation af iSight webcam-model installeret på Apples iMac- og MacBook-computere udgivet før 2008 og fandt ud af, at dens firmware nemt kunne ændres for at deaktivere indikator LED.
På hardwareniveau er LED'en direkte fastgjort til webkameraets billedsensor, især dens STANDBY-stift. Når STANDBY-signalet er aktivt, er LED'en slukket, og når den ikke er aktiv, er LED'en tændt, sagde JHU-forskerne i en nyligt udgivet papir.
For at deaktivere LED'en måtte forskerne finde en måde at aktivere STANDBY på, men også konfigurere billedsensoren til at ignorere den fordi når STANDBY bliver aktiv, bliver billedsensorens output automatisk deaktiveret, så webkameraet kan ikke bruges til at optage billeder.
For at opnå dette har forskerne lavet en modificeret version af iSight-firmwaren og derefter omprogrammeret kameraet med det ved hjælp af en metode, der involverer at sende leverandørspecifikke USB-enhedsanmodninger fra værten OS. De fandt ud af, at denne operation ikke kræver root-privilegier og kan udføres fra en proces startet af en almindelig brugerkonto.
JHU-forskerne skabte en proof-of-concept-applikation kaldet iSeeYou, der registrerer, om et iSight-webkamera er installeret, omprogrammerer det med den ændrede firmware og giver derefter brugeren mulighed for at starte kameraet og deaktivere LED. Når iSeeYou-applikationen stoppes, omprogrammeres kameraet med den originale, uændrede firmware.
Ud over at spionere på brugerne uden at de ved det, kunne muligheden for nemt at omprogrammere iSight-kameraet også tillade malware at undslippe et operativsystem, der kører inde i en virtuel maskine, forskerne sagde.
For at demonstrere dette omprogrammerede de kameraet fra et gæsteoperativsystem, der kører inde i VirtualBox – et virtuelt maskineprogram – til at fungere som et Apple USB-tastatur. Dette gjorde det muligt for dem at sende tastetryk, der overførte tastaturets ejerskab fra gæste-OS til værts-OS og derefter udførte shell-kommandoer på værts-OS.
JHU-forskerne dokumenterede ikke kun iSight-svagheden, men foreslog også forsvar, både på software- og hardwareniveau, mod angreb, der kunne forsøge at udnytte det. De byggede en Mac OS X-kerneudvidelse kaldet iSightDefender, der blokerer for, at specifikke USB-enhedsanmodninger, der kunne bruges til at indlæse falsk firmware, ikke sendes til kameraet.
Denne kerneudvidelse hæver barren for angribere, fordi de ville have brug for root-adgang for at omgå den. Det mest omfattende forsvar ville dog være at ændre kameraets hardwaredesign, så LED'en ikke kan deaktiveres af software, sagde forskerne.
Adskillige forslag til, hvordan det kunne opnås, samt anbefalinger til, hvordan man sikrer firmwareopdateringsprocessen, præsenteres i papiret.
Forskerne sagde, at de har sendt rapporten og deres proof-of-concept-kode til Apple, men de er ikke blevet informeret om eventuelle afbødningsplaner.
Apple reagerede ikke umiddelbart på en anmodning om kommentar.
Der har været en stigning i de seneste år i antallet af sager, hvor hackere spionerede på ofre – primært kvinder – i deres soveværelser og andre private omgivelser via deres webcams.
Et nyligt tilfælde af "sextortion" - afpresning ved hjælp af ulovligt opnåede nøgenfotografier af ofre - involverede den 19-årige Cassidy Wolf, vinderen af Miss Teen USA-titlen i 2013.
I september arresterede FBI en 19-årig mand ved navn Jared Abrahams fra Temecula, Californien, anklaget for at have hacket sig ind i de sociale mediers beretninger om flere kvinder, herunder Wolf, og tog nøgenbilleder af dem ved at fjernstyre deres webkameraer. Derefter kontaktede han angiveligt ofrene og truede med at poste billederne på deres profiler på sociale medier medmindre de sendte ham flere nøgenbilleder og videoer eller gjorde, hvad han forlangte i fem minutter i Skype-video chats.
Ulv sagde i medieinterviews at hun ikke anede, at nogen så hende gennem hendes webcam, fordi kameraets lys ikke tændte.
Der er hackere, der samler værktøjer til fjernadministration (RAT'er), der kan optage video og lyd fra webcams med malware, sagde JHU-forskerne i deres papir. Baseret på diskussionstråde på hackerfora mange af disse personer, som er kendt som "rattere", er interesseret i muligheden for at deaktivere webcam LED'er, men tror ikke det er muligt, de sagde.
Denne nye forskning viser, at det er muligt, i det mindste på nogle computere.
"I dette papir har vi kun undersøgt en enkelt generation af webcams produceret af en enkelt producent," sagde forskerne. "I fremtidigt arbejde planlægger vi at udvide omfanget af vores undersøgelse til at omfatte nyere Apple-webkameraer (som f.eks deres seneste high-definition FaceTime-kameraer) samt webcams installeret i andre populære bærbare computere mærker."
Sikkerhedseksperter har tidligere rådet brugere til at tildække deres webcams, når de ikke er i brug, for at undgå at blive udspioneret i tilfælde af, at deres computere bliver kompromitteret.