Većina web kamera ima svjetlo upozorenja koje pokazuje kada su aktivne, ali zlonamjerni softver to može onemogućiti važna značajka privatnosti na starijim Mac računalima, prema istraživanju Sveučilišta Johns Hopkins (JHU) u Baltimore.
Asistent istraživačkog profesora JHU Stephen Checkoway i student diplomskog studija Matthew Brocker istraživali su dizajn hardvera prve generacije iSighta model web kamere instaliran u Appleova iMac i MacBook računala izdana prije 2008. i otkrili da se njegov firmware lako može modificirati da onemogući LED indikator.
Na hardverskoj razini, LED dioda je izravno spojena na senzor slike web kamere, posebno na njen STANDBY pin. Kada je STANDBY signal aktivan, LED je isključen, a kada nije aktivan, LED je uključen, rekli su istraživači JHU-a u nedavno objavljenom papir.
Kako bi onemogućili LED, istraživači su morali pronaći način da aktiviraju STANDBY, ali i konfigurirati senzor slike da ga zanemari jer kada STANJE PRIPRAVNOSTI postane aktivno, izlaz senzora slike automatski se onemogućuje, tako da se web kamera ne može koristiti za snimanje slike.
Kako bi to postigli, istraživači su izradili modificiranu verziju iSight firmwarea i zatim ga reprogramirali kameru s njim, koristeći metodu koja uključuje slanje zahtjeva za USB uređaje specifičnih dobavljača s glavnog računala OS. Otkrili su da ova operacija ne zahtijeva root povlastice i da se može izvršiti iz procesa koji je pokrenuo obični korisnički račun.
Istraživači JHU stvorili su aplikaciju za dokaz koncepta nazvanu iSeeYou koja otkriva je li iSight web kamera instalirati, reprogramirati ga s modificiranim firmwareom i zatim dopustiti korisniku da pokrene kameru i onemogući LED. Kada se aplikacija iSeeYou zaustavi, kamera se reprogramira s originalnim, nepromijenjenim firmwareom.
Osim špijuniranja korisnika bez njihovog znanja, mogućnost jednostavnog reprogramiranja iSight kamere bi mogla također omogućuju zlonamjernom softveru da pobjegne iz operativnog sustava koji radi unutar virtualnog stroja, istraživači rekao je.
Kako bi to demonstrirali, reprogramirali su kameru iz gostujućeg OS-a koji radi unutar VirtualBoxa—programa virtualnog stroja—da djeluje kao Apple USB tipkovnica. To im je omogućilo da pošalju pritiske tipki koji su prenijeli vlasništvo nad tipkovnicom s gostujućeg OS-a na glavni OS i zatim izvršili naredbe ljuske na glavnom OS-u.
Istraživači JHU-a nisu samo dokumentirali slabost iSighta, već su predložili i obranu, i na softverskoj i na hardverskoj razini, protiv napada koji bi je mogli pokušati iskoristiti. Napravili su proširenje kernela za Mac OS X nazvano iSightDefender koje blokira zahtjeve specifičnih USB uređaja koji bi se mogli koristiti za učitavanje lažnog firmwarea od slanja na kameru.
Ovo proširenje kernela podiže ljestvicu za napadače jer bi im trebao root pristup da ga zaobiđu. Međutim, najopsežnija obrana bila bi promjena hardverskog dizajna kamere tako da se LED dioda ne može softverski onemogućiti, rekli su istraživači.
U radu je predstavljeno nekoliko prijedloga kako bi se to moglo postići, kao i preporuke kako osigurati proces ažuriranja firmvera.
Istraživači su rekli da su poslali izvješće i svoj kod za dokaz koncepta Appleu, ali nisu bili obaviješteni o mogućim planovima za ublažavanje.
Apple nije odmah odgovorio na zahtjev za komentar.
Posljednjih godina bilježi se porast broja slučajeva u kojima su hakeri špijunirali žrtve - prvenstveno žene - u njihovim spavaćim sobama i drugim privatnim okruženjima putem njihovih web kamera.
Jedan nedavni slučaj "sextortion" - iznude korištenjem nezakonito dobivenih golih fotografija žrtava - uključivao je 19-godišnju Cassidy Wolf, pobjednicu titule Miss Teen USA 2013. godine.
U rujnu je FBI uhitio 19-godišnjaka po imenu Jared Abrahams iz Temecule u Kaliforniji pod optužbom da je hakirao račune na društvenim mrežama nekoliko žena, uključujući Wolfa, i snimio njihove gole fotografije daljinskim upravljanjem web kamere. Potom je navodno kontaktirao žrtve i prijetio im da će slike objaviti na njihovim profilima na društvenim mrežama osim ako mu nisu poslali još golišavih fotografija i videa ili učinili ono što je tražio pet minuta u Skype videu razgovori.
Vuk rekao je u medijskim intervjuima da nije imala pojma da je netko gleda kroz web kameru jer se svjetlo kamere nije upalilo.
Postoje hakeri koji povezuju alate za udaljenu administraciju (RAT) koji mogu snimati video i zvuk s web kamera sa zlonamjernim softverom, rekli su istraživači JHU u svom radu. Na temelju tema rasprava na hakerskim forumima, mnogi od tih pojedinaca, koji su poznati kao "štakori", zainteresirani su za mogućnost onemogućavanja LED dioda web kamere, ali ne misle da je to moguće, oni rekao je.
Ovo novo istraživanje pokazuje da je to moguće, barem na nekim računalima.
"U ovom radu ispitali smo samo jednu generaciju web kamera koje je proizveo jedan proizvođač", rekli su istraživači. “U budućem radu planiramo proširiti opseg naše istrage kako bismo uključili novije Apple web kamere (kao što je njihove najnovije FaceTime kamere visoke razlučivosti) kao i web-kamere instalirane u drugim popularnim prijenosnim računalima brendovi."
Stručnjaci za sigurnost savjetovali su korisnicima u prošlosti da pokriju svoje web kamere kada ih ne koriste kako bi izbjegli špijuniranje u slučaju da im računala budu ugrožena.