De meeste webcams hebben een waarschuwingslampje dat aangeeft wanneer ze actief zijn, maar het is mogelijk dat malware dit uitschakelt belangrijke privacyfunctie op oudere Mac-computers, volgens onderzoek van de Johns Hopkins University (JHU) in Baltimore.
JHU Assistant Research Professor Stephen Checkoway en afgestudeerde student Matthew Brocker onderzochten het hardware-ontwerp van de eerste generatie iSight webcammodel geïnstalleerd in Apple's iMac- en MacBook-computers uitgebracht vóór 2008 en ontdekte dat de firmware gemakkelijk kon worden aangepast om de indicator-LED.
Op hardwareniveau is de LED direct bevestigd aan de beeldsensor van de webcam, met name de STANDBY-pin. Wanneer het STANDBY-signaal actief is, is de LED uit en wanneer deze niet actief is, brandt de LED, aldus de JHU-onderzoekers in een onlangs uitgebrachte papier.
Om de LED uit te schakelen, moesten de onderzoekers een manier vinden om STANDBY te activeren, maar ook de beeldsensor configureren om deze te negeren omdat wanneer STAND-BY actief wordt, de uitvoer van de beeldsensor automatisch wordt uitgeschakeld, zodat de webcam niet kan worden gebruikt om vast te leggen afbeeldingen.
Om dit te bereiken, hebben de onderzoekers een aangepaste versie van de iSight-firmware gemaakt en vervolgens opnieuw geprogrammeerd de camera erbij, met behulp van een methode waarbij leveranciersspecifieke USB-apparaatverzoeken van de host worden verzonden Besturingssysteem. Ze ontdekten dat deze bewerking geen rootrechten vereist en kan worden uitgevoerd vanuit een proces dat wordt gestart door een gewoon gebruikersaccount.
De JHU-onderzoekers creëerden een proof-of-concept-applicatie genaamd iSeeYou die detecteert of een iSight-webcam is geïnstalleerd, herprogrammeert deze met de gewijzigde firmware en stelt de gebruiker vervolgens in staat de camera te starten en de LED. Wanneer de iSeeYou-applicatie wordt gestopt, wordt de camera opnieuw geprogrammeerd met de originele, ongewijzigde firmware.
Naast het bespioneren van gebruikers zonder dat ze het weten, zou de mogelijkheid om de iSight-camera gemakkelijk te herprogrammeren dat wel kunnen ook malware laten ontsnappen uit een besturingssysteem dat op een virtuele machine draait, aldus de onderzoekers gezegd.
Om dit te demonstreren, herprogrammeerden ze de camera van een gast-besturingssysteem dat in VirtualBox draait - een virtueel machineprogramma - om te fungeren als een Apple USB-toetsenbord. Hierdoor konden ze toetsaanslagen verzenden die het eigendom van het toetsenbord van het gast-besturingssysteem naar het host-besturingssysteem overdroegen en vervolgens shell-opdrachten uitvoeren op het host-besturingssysteem.
De JHU-onderzoekers documenteerden niet alleen de zwakte van iSight, maar stelden ook verdedigingen voor, zowel op software- als hardwareniveau, tegen aanvallen die het zouden kunnen misbruiken. Ze bouwden een Mac OS X-kernelextensie genaamd iSightDefender die specifieke USB-apparaatverzoeken blokkeert die kunnen worden gebruikt om frauduleuze firmware te laden, zodat ze niet naar de camera kunnen worden verzonden.
Deze kernelextensie legt de lat hoger voor aanvallers omdat ze root-toegang nodig hebben om deze te omzeilen. De meest uitgebreide verdediging zou echter zijn om het hardware-ontwerp van de camera te veranderen, zodat de LED niet door software kan worden uitgeschakeld, aldus de onderzoekers.
In de paper worden verschillende voorstellen gepresenteerd over hoe dat kan worden bereikt, evenals aanbevelingen over hoe het firmware-updateproces kan worden beveiligd.
De onderzoekers zeiden dat ze het rapport en hun proof-of-concept-code naar Apple hebben gestuurd, maar dat ze niet zijn geïnformeerd over mogelijke mitigatieplannen.
Apple reageerde niet onmiddellijk op een verzoek om commentaar.
De afgelopen jaren is het aantal gevallen toegenomen waarin hackers via hun webcams slachtoffers, voornamelijk vrouwen, bespioneerden in hun slaapkamers en andere privéomgevingen.
Een recent geval van "sextortion" - afpersing met behulp van illegaal verkregen naaktfoto's van slachtoffers - betrof de 19-jarige Cassidy Wolf, de winnaar van de Miss Teen USA-titel 2013.
In september arresteerde de FBI een 19-jarige man genaamd Jared Abrahams uit Temecula, Californië, op beschuldiging dat hij inbrak in de sociale media-accounts van verschillende vrouwen, waaronder Wolf, en nam naaktfoto's van hen door hun op afstand te bedienen webcams. Vervolgens zou hij contact hebben opgenomen met de slachtoffers en gedreigd hebben de foto's op hun socialemediaprofielen te plaatsen tenzij ze hem meer naaktfoto's en -video's stuurden of deden wat hij eiste gedurende vijf minuten in Skype-video chatten.
Wolf zei in media-interviews dat ze geen idee had dat iemand haar via haar webcam in de gaten hield omdat het licht van de camera niet aanging.
Er zijn hackers die tools voor beheer op afstand (RAT's) bundelen die video en geluid van webcams met malware kunnen opnemen, aldus de JHU-onderzoekers in hun paper. Op basis van discussiethreads op hackerforums hebben veel van deze individuen, die bekend staan als "ratters", zijn geïnteresseerd in de mogelijkheid om de webcam-LED's uit te schakelen, maar denken niet dat het mogelijk is, zij gezegd.
Dit nieuwe onderzoek toont aan dat het mogelijk is, althans op sommige computers.
"In dit artikel hebben we slechts één generatie webcams onderzocht die door één enkele fabrikant is geproduceerd", aldus de onderzoekers. "In toekomstig werk zijn we van plan om de reikwijdte van ons onderzoek uit te breiden naar nieuwere Apple-webcams (zoals hun meest recente high-definition FaceTime-camera's) en webcams die in andere populaire laptops zijn geïnstalleerd merken.”
Beveiligingsexperts hebben gebruikers in het verleden geadviseerd om hun webcams af te dekken wanneer ze niet in gebruik zijn om te voorkomen dat ze worden bespioneerd als hun computers in gevaar komen.