Die meisten Webcams haben eine Warnleuchte, die anzeigt, wann sie aktiv sind, aber es ist möglich, dass Malware dies deaktiviert wichtige Datenschutzfunktion auf älteren Mac-Computern, laut einer Studie der Johns Hopkins University (JHU) in Baltimore.
JHU Assistant Research Professor Stephen Checkoway und Doktorand Matthew Brocker untersuchten das Hardwaredesign des iSight der ersten Generation Webcam-Modell, das in Apples iMac- und MacBook-Computern installiert war, die vor 2008 veröffentlicht wurden, und stellte fest, dass seine Firmware leicht geändert werden konnte, um das zu deaktivieren Anzeige-LED.
Auf Hardwareebene ist die LED direkt mit dem Bildsensor der Webcam verbunden, insbesondere mit dem STANDBY-Pin. Wenn das STANDBY-Signal aktiv ist, ist die LED aus und wenn es nicht aktiv ist, ist die LED an, sagten die JHU-Forscher in einer kürzlich veröffentlichten Mitteilung Papier.
Um die LED zu deaktivieren, mussten die Forscher einen Weg finden, STANDBY zu aktivieren, aber auch den Bildsensor so konfigurieren, dass er ihn ignoriert denn wenn STANDBY aktiv wird, wird die Bildsensorausgabe automatisch deaktiviert, sodass die Webcam nicht zum Aufnehmen verwendet werden kann Bilder.
Um dies zu erreichen, erstellten die Forscher eine modifizierte Version der iSight-Firmware und programmierten sie anschließend neu die Kamera mit einer Methode, bei der herstellerspezifische USB-Geräteanforderungen vom Host gesendet werden Betriebssystem. Sie fanden heraus, dass dieser Vorgang keine Root-Rechte erfordert und von einem Prozess aus durchgeführt werden kann, der von einem normalen Benutzerkonto gestartet wird.
Die JHU-Forscher erstellten eine Proof-of-Concept-Anwendung namens iSeeYou, die erkennt, ob eine iSight-Webcam vorhanden ist installiert, programmiert sie mit der geänderten Firmware neu und erlaubt dem Benutzer dann, die Kamera zu starten und zu deaktivieren LED. Wenn die iSeeYou-Anwendung beendet wird, wird die Kamera mit der ursprünglichen, unveränderten Firmware neu programmiert.
Zusätzlich zum Ausspionieren von Benutzern ohne deren Wissen könnte die Möglichkeit, die iSight-Kamera einfach neu zu programmieren, möglich sein erlauben den Forschern auch, Malware aus einem Betriebssystem zu entkommen, das in einer virtuellen Maschine läuft genannt.
Um dies zu demonstrieren, programmierten sie die Kamera von einem Gastbetriebssystem aus, das in VirtualBox – einem Programm für virtuelle Maschinen – ausgeführt wurde, um als Apple USB-Tastatur zu fungieren. Dadurch konnten sie Tastendrücke senden, die den Besitz der Tastatur vom Gastbetriebssystem auf das Hostbetriebssystem übertragen und dann Shell-Befehle auf dem Hostbetriebssystem ausführen.
Die JHU-Forscher dokumentierten nicht nur die iSight-Schwäche, sondern schlugen auch Abwehrmaßnahmen sowohl auf Software- als auch auf Hardwareebene gegen Angriffe vor, die versuchen könnten, sie auszunutzen. Sie haben eine Kernel-Erweiterung für Mac OS X namens iSightDefender entwickelt, die bestimmte Anfragen von USB-Geräten, die zum Laden von Rogue-Firmware verwendet werden könnten, daran hindert, an die Kamera gesendet zu werden.
Diese Kernel-Erweiterung legt die Messlatte für Angreifer höher, da sie Root-Zugriff benötigen würden, um sie zu umgehen. Die umfassendste Verteidigung wäre jedoch, das Hardwaredesign der Kamera so zu ändern, dass die LED nicht per Software deaktiviert werden kann, sagten die Forscher.
In dem Papier werden mehrere Vorschläge vorgestellt, wie dies erreicht werden könnte, sowie Empfehlungen, wie der Firmware-Aktualisierungsprozess gesichert werden kann.
Die Forscher gaben an, den Bericht und ihren Proof-of-Concept-Code an Apple gesendet zu haben, aber sie wurden nicht über mögliche Minderungspläne informiert.
Apple reagierte nicht sofort auf eine Bitte um Stellungnahme.
In den letzten Jahren ist die Zahl der Fälle gestiegen, in denen Hacker Opfer – hauptsächlich Frauen – in ihren Schlafzimmern und anderen privaten Umgebungen über ihre Webcams ausspioniert haben.
Ein aktueller Fall von „Sextortion“ – Erpressung unter Verwendung illegal erlangter Nacktfotos von Opfern – betraf die 19-jährige Cassidy Wolf, die Gewinnerin des Miss Teen USA-Titels 2013.
Im September verhaftete das FBI einen 19-jährigen Mann namens Jared Abrahams aus Temecula, Kalifornien, unter dem Vorwurf, er habe sich gehackt die Social-Media-Konten mehrerer Frauen, darunter Wolf, und machte Nacktfotos von ihnen, indem sie ihre ferngesteuerten Webcams. Anschließend soll er die Opfer kontaktiert und gedroht haben, die Bilder auf ihren Social-Media-Profilen zu veröffentlichen es sei denn, sie schickten ihm weitere Nacktfotos und -videos oder taten fünf Minuten lang in einem Skype-Video, was er verlangte chattet.
Wolf sagte in Medieninterviews dass sie keine Ahnung hatte, dass jemand sie durch ihre Webcam beobachtete, weil das Licht der Kamera nicht anging.
Es gibt Hacker, die Remote Administration Tools (RATs) bündeln, die Video und Ton von Webcams mit Malware aufzeichnen können, sagten die JHU-Forscher in ihrem Artikel. Basierend auf Diskussionsthreads in Hackerforen haben viele dieser Personen, die als „Ratter“ bekannt sind, Sie interessieren sich für die Möglichkeit, die Webcam-LEDs zu deaktivieren, halten dies jedoch nicht für möglich genannt.
Diese neue Forschung zeigt, dass dies zumindest auf einigen Computern möglich ist.
„In diesem Papier haben wir nur eine einzige Generation von Webcams untersucht, die von einem einzigen Hersteller hergestellt wurden“, sagten die Forscher. „In der zukünftigen Arbeit planen wir, den Umfang unserer Untersuchung auf neuere Apple-Webcams (wie z ihre neuesten High-Definition-FaceTime-Kameras) sowie Webcams, die in anderen gängigen Laptops installiert sind Marken.“
Sicherheitsexperten haben Benutzern in der Vergangenheit geraten, ihre Webcams abzudecken, wenn sie nicht verwendet werden, um nicht ausspioniert zu werden, falls ihre Computer kompromittiert werden.