De fleste webkameraer har et varsellys som indikerer når de er aktive, men det er mulig for skadelig programvare å deaktivere dette viktig personvernfunksjon på eldre Mac-datamaskiner, ifølge forskning fra Johns Hopkins University (JHU) i Baltimore.
JHU Assistant Research Professor Stephen Checkoway og doktorgradsstudent Matthew Brocker undersøkte maskinvaredesignet til førstegenerasjons iSight webkameramodell installert i Apples iMac- og MacBook-datamaskiner utgitt før 2008 og fant ut at fastvaren lett kunne endres for å deaktivere indikator LED.
På maskinvarenivå er LED-en direkte festet til webkameraets bildesensor, spesielt STANDBY-pinnen. Når STANDBY-signalet er aktivt, er LED-en av og når den ikke er aktiv, er LED-en på, sa JHU-forskerne i en nylig utgitt papir.
For å deaktivere LED-en, måtte forskerne finne en måte å aktivere STANDBY på, men også konfigurere bildesensoren til å ignorere den fordi når STANDBY blir aktiv, blir bildesensorutgangen automatisk deaktivert, så webkameraet kan ikke brukes til å fange Bilder.
For å oppnå dette har forskerne laget en modifisert versjon av iSight-fastvaren og deretter omprogrammert kameraet med det, ved å bruke en metode som innebærer å sende leverandørspesifikke USB-enhetsforespørsler fra verten OS. De fant ut at denne operasjonen ikke krever root-privilegier og kan gjøres fra en prosess startet av en vanlig brukerkonto.
JHU-forskerne laget en proof-of-concept-applikasjon kalt iSeeYou som oppdager om et iSight-webkamera er installert, omprogrammerer den med den modifiserte fastvaren og lar brukeren starte kameraet og deaktivere LED. Når iSeeYou-applikasjonen stoppes, omprogrammeres kameraet med den originale, uendrede fastvaren.
I tillegg til å spionere på brukere uten at de vet det, kan muligheten til å enkelt omprogrammere iSight-kameraet lar også skadelig programvare flykte fra et operativsystem som kjører inne i en virtuell maskin, sier forskerne sa.
For å demonstrere dette omprogrammerte de kameraet fra et gjeste-OS som kjører inne i VirtualBox – et virtuelt maskinprogram – til å fungere som et Apple USB-tastatur. Dette tillot dem å sende tastetrykk som overførte tastaturets eierskap fra gjeste-OS til verts-OS og deretter utførte shell-kommandoer på verts-OS.
JHU-forskerne dokumenterte ikke bare iSight-svakheten, men foreslo også forsvar, både på programvare- og maskinvarenivå, mot angrep som kan prøve å utnytte den. De bygde en Mac OS X-kjerneutvidelse kalt iSightDefender som blokkerer spesifikke USB-enhetsforespørsler som kan brukes til å laste falsk fastvare fra å bli sendt til kameraet.
Denne kjerneutvidelsen hever baren for angripere fordi de trenger root-tilgang for å omgå den. Det mest omfattende forsvaret ville imidlertid være å endre maskinvaredesignet til kameraet slik at LED-en ikke kan deaktiveres av programvare, sa forskerne.
Flere forslag til hvordan dette kan oppnås, samt anbefalinger om hvordan man sikrer fastvareoppdateringsprosessen, er presentert i papiret.
Forskerne sa at de har sendt rapporten og deres proof-of-concept-kode til Apple, men de har ikke blitt informert om mulige avbøtende planer.
Apple svarte ikke umiddelbart på en forespørsel om kommentar.
Det har vært en økning de siste årene i antall tilfeller der hackere spionerte på ofre – først og fremst kvinner – på soverommene og andre private omgivelser gjennom webkameraene deres.
Et nylig tilfelle av «utpressing» – utpressing ved bruk av ulovlig innhentede nakenbilder av ofre – involverte 19 år gamle Cassidy Wolf, vinneren av Miss Teen USA-tittelen i 2013.
I september arresterte FBI en 19 år gammel mann ved navn Jared Abrahams fra Temecula, California, på siktelser om at han hacket seg inn i de sosiale mediekontoene til flere kvinner, inkludert Wolf, og tok nakenbilder av dem ved å fjernstyre deres webkameraer. Deretter skal han ha kontaktet ofrene og truet med å legge ut bildene på deres sosiale medieprofiler med mindre de sendte ham flere nakenbilder og videoer eller gjorde det han krevde i fem minutter i Skype-video chatter.
Ulv sa i medieintervjuer at hun ikke ante at noen så henne gjennom webkameraet hennes fordi kameraets lys ikke gikk på.
Det er hackere som samler verktøy for fjernadministrasjon (RAT) som kan ta opp video og lyd fra webkameraer med skadelig programvare, sa JHU-forskerne i papiret deres. Basert på diskusjonstråder på hackerfora mange av disse personene, som er kjent som "rattere", er interessert i muligheten til å deaktivere webkameraets lysdioder, men tror ikke det er mulig, de sa.
Denne nye forskningen viser at det er mulig, i det minste på noen datamaskiner.
"I denne artikkelen har vi kun undersøkt en enkelt generasjon webkameraer produsert av en enkelt produsent," sa forskerne. "I fremtidig arbeid planlegger vi å utvide omfanget av undersøkelsen vår til å inkludere nyere Apple-webkameraer (som f deres nyeste HD-FaceTime-kameraer) samt webkameraer installert på andre populære bærbare datamaskiner merker."
Sikkerhetseksperter har tidligere rådet brukere til å dekke til webkameraene sine når de ikke er i bruk for å unngå å bli spionert på i tilfelle datamaskinene deres blir kompromittert.