לרוב מצלמות הרשת יש נורית אזהרה שמציינת מתי הן פעילות, אך ייתכן שתוכנה זדונית תשבית זאת תכונת פרטיות חשובה במחשבי Mac ישנים יותר, על פי מחקר מאוניברסיטת ג'ונס הופקינס (JHU) ב בולטימור.
עוזר המחקר של JHU, סטיבן צ'קאווי והסטודנט לתואר שני מתיו ברוקר חקרו את עיצוב החומרה של הדור הראשון iSight דגם מצלמת האינטרנט שהותקן במחשבי ה-iMac וה-MacBook של אפל שיצאו לפני 2008 ומצא שניתן לשנות את הקושחה שלה בקלות כדי להשבית את נורית מחוון.
ברמת החומרה, ה-LED מחובר ישירות לחיישן התמונה של מצלמת האינטרנט, במיוחד את סיכת ה-STANDBY שלה. כאשר אות ה-STANDBY פעיל, ה-LED כבוי וכאשר אינו פעיל, הנורית דולקת, אמרו חוקרי JHU בהודעה שפורסמה לאחרונה עיתון.
על מנת להשבית את ה-LED, החוקרים נאלצו למצוא דרך להפעיל את STANDBY, אך גם להגדיר את חיישן התמונה להתעלם ממנו מכיוון שכאשר STANDBY הופך לפעיל, פלט חיישן התמונה מושבת באופן אוטומטי, כך שלא ניתן להשתמש במצלמת האינטרנט לצילום תמונות.
כדי להשיג זאת, החוקרים יצרו גרסה שונה של קושחת iSight ולאחר מכן תכנתו מחדש המצלמה איתה, בשיטה הכוללת שליחת בקשות התקן USB ספציפי לספק מהמארח מערכת הפעלה. הם גילו שהפעולה הזו אינה דורשת הרשאות שורש וניתן לעשות אותה מתהליך שהתחיל על ידי חשבון משתמש רגיל.
חוקרי ה-JHU יצרו יישום הוכחת קונספט בשם iSeeYou שמזהה אם מצלמת iSight היא מותקן, מתכנת אותה מחדש עם הקושחה ששונתה ולאחר מכן מאפשר למשתמש להפעיל את המצלמה ולהשבית את לד. כאשר אפליקציית iSeeYou נעצרת, המצלמה מתוכנתת מחדש עם הקושחה המקורית, ללא שינוי.
בנוסף לריגול אחר משתמשים מבלי שהם ידעו, היכולת לתכנת מחדש את מצלמת iSight בקלות גם לאפשר לתוכנות זדוניות לברוח ממערכת הפעלה שפועלת בתוך מכונה וירטואלית, החוקרים אמר.
כדי להדגים זאת, הם תכנתו מחדש את המצלמה ממערכת הפעלה אורחת הפועלת בתוך VirtualBox - תוכנית מכונה וירטואלית - כך שתפעל כמקלדת USB של Apple. זה איפשר להם לשלוח לחיצות מקשים שהעבירו את הבעלות על המקלדת ממערכת ההפעלה האורחת למערכת ההפעלה המארחת ולאחר מכן ביצעו פקודות מעטפת במערכת ההפעלה המארחת.
חוקרי JHU לא רק תיעדו את חולשת iSight, אלא גם הציעו הגנות, הן ברמת התוכנה והן ברמת החומרה, מפני התקפות שעלולות לנסות לנצל אותה. הם בנו תוסף ליבה של Mac OS X בשם iSightDefender שחוסם בקשות ספציפיות של התקני USB שניתן להשתמש בהם כדי לטעון קושחה סוררת להישלח למצלמה.
תוסף ליבה זה מעלה את הרף עבור תוקפים מכיוון שהם יצטרכו גישת שורש כדי לעקוף אותה. עם זאת, ההגנה המקיפה ביותר תהיה לשנות את עיצוב החומרה של המצלמה כך שלא ניתן להשבית את ה-LED על ידי תוכנה, אמרו החוקרים.
מספר הצעות כיצד ניתן להשיג זאת, כמו גם המלצות כיצד לאבטח את תהליך עדכון הקושחה, מוצגות במאמר.
החוקרים אמרו שהם שלחו את הדו"ח ואת קוד ההוכחה שלהם לאפל, אך הם לא קיבלו מידע על תוכניות הפחתה אפשריות.
אפל לא הגיבה מיד לבקשת תגובה.
בשנים האחרונות חלה עלייה במספר המקרים שבהם האקרים ריגלו אחר קורבנות - בעיקר נשים - בחדרי השינה שלהם ובהגדרות פרטיות אחרות באמצעות מצלמות האינטרנט שלהם.
מקרה אחרון אחד של "סחיטה באיומים" - סחיטה באמצעות צילומי עירום שהושגו באופן בלתי חוקי של קורבנות - כלל קאסידי וולף בת ה-19, הזוכה בתואר מיס Teen USA לשנת 2013.
בספטמבר, ה-FBI עצר גבר בן 19 בשם ג'ארד אברהמס מטמקולה, קליפורניה, באשמת פריצה את חשבונות המדיה החברתית של כמה נשים, כולל וולף, וצילמו תמונות עירום שלהן על ידי שליטה מרחוק שלהן מצלמות אינטרנט. לאחר מכן, לכאורה, יצר קשר עם הקורבנות ואיים לפרסם את התמונות בפרופילי המדיה החברתית שלהם אלא אם כן הם שלחו לו עוד תמונות עירום וסרטונים או עשו מה שהוא דרש במשך חמש דקות בסרטון סקייפ צ'אטים.
זְאֵב אמר בראיונות לתקשורת שלא היה לה מושג שמישהו צופה בה דרך מצלמת האינטרנט שלה כי האור של המצלמה לא נדלק.
ישנם האקרים המאגדים כלי ניהול מרחוק (RATs) שיכולים להקליט וידאו וסאונד ממצלמות אינטרנט עם תוכנות זדוניות, אמרו חוקרי JHU במאמרם. בהתבסס על שרשורי דיון בפורומי האקרים רבים מהאנשים הללו, הידועים כ"טרטרים", מעוניינים ביכולת להשבית את נוריות מצלמת האינטרנט, אבל לא חושבים שזה אפשרי, הם אמר.
מחקר חדש זה מראה שזה אפשרי, לפחות במחשבים מסוימים.
"במאמר זה, בחנו רק דור בודד של מצלמות רשת המיוצרות על ידי יצרן יחיד", אמרו החוקרים. "בעבודה עתידית, אנו מתכננים להרחיב את היקף החקירה שלנו לכלול מצלמות אינטרנט חדשות יותר של אפל (כגון מצלמות ה-FaceTime העדכניות ביותר שלהם ב-High-Definition) וכן מצלמות רשת המותקנות במחשב נייד פופולרי אחר מותגים."
מומחי אבטחה יעצו למשתמשים בעבר לכסות את מצלמות הרשת שלהם כאשר אינן בשימוש על מנת למנוע ריגול למקרה שהמחשבים שלהם ייפגעו.