La mayoría de las cámaras web tienen una luz de advertencia que indica cuándo están activas, pero es posible que el malware las deshabilite. función de privacidad importante en las computadoras Mac más antiguas, según una investigación de la Universidad Johns Hopkins (JHU) en Baltimore.
El profesor asistente de investigación de JHU Stephen Checkoway y el estudiante graduado Matthew Brocker investigaron el diseño de hardware de la iSight de primera generación. modelo de cámara web instalado en las computadoras iMac y MacBook de Apple lanzadas antes de 2008 y descubrió que su firmware podía modificarse fácilmente para deshabilitar el LED indicador.
A nivel de hardware, el LED está conectado directamente al sensor de imagen de la cámara web, particularmente a su pin STANDBY. Cuando la señal STANDBY está activa, el LED está apagado y cuando no está activo, el LED está encendido, dijeron los investigadores de JHU en un comunicado publicado recientemente. papel.
Para deshabilitar el LED, los investigadores tuvieron que encontrar una manera de activar STANDBY, pero también configurar el sensor de imagen para ignorarlo. porque cuando STANDBY se activa, la salida del sensor de imagen se desactiva automáticamente, por lo que la cámara web no se puede usar para capturar imágenes
Para lograr esto, los investigadores crearon una versión modificada del firmware iSight y luego reprogramaron la cámara con él, utilizando un método que implica el envío de solicitudes de dispositivos USB específicas del proveedor desde el host sistema operativo Descubrieron que esta operación no requiere privilegios de root y se puede realizar desde un proceso iniciado por una cuenta de usuario normal.
Los investigadores de JHU crearon una aplicación de prueba de concepto llamada iSeeYou que detecta si una cámara web iSight está instalado, lo reprograma con el firmware modificado y luego permite que el usuario inicie la cámara y deshabilite el CONDUJO. Cuando se detiene la aplicación iSeeYou, la cámara se reprograma con el firmware original inalterado.
Además de espiar a los usuarios sin que ellos lo sepan, la capacidad de reprogramar fácilmente la cámara iSight podría también permitir que el malware escape de un sistema operativo que se ejecuta dentro de una máquina virtual, los investigadores dicho.
Para demostrarlo, reprogramaron la cámara desde un sistema operativo invitado que se ejecuta dentro de VirtualBox, un programa de máquina virtual, para que actúe como un teclado USB de Apple. Esto les permitió enviar pulsaciones de teclas que transfirieron la propiedad del teclado del sistema operativo invitado al sistema operativo anfitrión y luego ejecutaron comandos de shell en el sistema operativo anfitrión.
Los investigadores de JHU no solo documentaron la debilidad de iSight, sino que también propusieron defensas, tanto a nivel de software como de hardware, contra ataques que podrían intentar explotarla. Construyeron una extensión del kernel de Mac OS X llamada iSightDefender que bloquea solicitudes específicas de dispositivos USB que podrían usarse para cargar firmware no autorizado para que no se envíen a la cámara.
Esta extensión del kernel sube el listón para los atacantes porque necesitarían acceso de root para evitarlo. Sin embargo, la defensa más completa sería cambiar el diseño del hardware de la cámara para que el software no pueda desactivar el LED, dijeron los investigadores.
En el documento se presentan varias propuestas sobre cómo se podría lograr eso, así como recomendaciones sobre cómo asegurar el proceso de actualización del firmware.
Los investigadores dijeron que enviaron el informe y su código de prueba de concepto a Apple, pero no han sido informados sobre ningún posible plan de mitigación.
Apple no respondió de inmediato a una solicitud de comentarios.
Ha habido un aumento en los últimos años en la cantidad de casos en los que los piratas informáticos espiaron a las víctimas, principalmente mujeres, en sus habitaciones y otros lugares privados a través de sus cámaras web.
Un caso reciente de “sextorsión” —extorsión utilizando fotografías de víctimas desnudas obtenidas ilegalmente— involucró a Cassidy Wolf, de 19 años, ganadora del título Miss Teen USA 2013.
En septiembre, el FBI arrestó a un hombre de 19 años llamado Jared Abrahams de Temecula, California, acusado de piratear las cuentas de redes sociales de varias mujeres, incluida Wolf, y les tomó fotografías de ellas desnudas controlando de forma remota sus cámaras web Luego supuestamente contactó a las víctimas y amenazó con publicar las fotos en sus perfiles de redes sociales. a menos que le enviaran más fotos y videos desnudos o hicieran lo que él exigió durante cinco minutos en video de Skype charlas
Lobo dijo en entrevistas con los medios que no tenía idea de que alguien la estaba mirando a través de su cámara web porque la luz de la cámara no se encendió.
Hay piratas informáticos que combinan herramientas de administración remota (RAT) que pueden grabar video y sonido desde cámaras web con malware, dijeron los investigadores de JHU en su artículo. Basado en hilos de discusión en foros de hackers, muchas de estas personas, conocidas como "ratones", están interesados en la capacidad de desactivar los LED de la cámara web, pero no creen que sea posible, ellos dicho.
Esta nueva investigación muestra que es posible, al menos en algunas computadoras.
"En este documento, hemos examinado solo una generación de cámaras web producidas por un solo fabricante", dijeron los investigadores. “En el trabajo futuro, planeamos ampliar el alcance de nuestra investigación para incluir cámaras web de Apple más nuevas (como sus cámaras FaceTime de alta definición más recientes), así como cámaras web instaladas en otras computadoras portátiles populares marcas.”
Los expertos en seguridad han aconsejado a los usuarios en el pasado que cubran sus cámaras web cuando no estén en uso para evitar ser espiados en caso de que sus computadoras se vean comprometidas.