A maioria das webcams tem uma luz de aviso que indica quando estão ativas, mas é possível que o malware desative isso importante recurso de privacidade em computadores Mac mais antigos, de acordo com pesquisa da Johns Hopkins University (JHU) em Baltimore.
O professor de pesquisa assistente da JHU, Stephen Checkoway, e o aluno de pós-graduação Matthew Brocker investigaram o design de hardware da primeira geração do iSight modelo de webcam instalado em computadores iMac e MacBook da Apple lançados antes de 2008 e descobriu que seu firmware poderia ser facilmente modificado para desabilitar o LED indicador.
No nível do hardware, o LED está diretamente conectado ao sensor de imagem da webcam, principalmente ao pino STANDBY. Quando o sinal STANDBY está ativo, o LED está desligado e quando não está ativo, o LED está ligado, disseram os pesquisadores da JHU em um relatório divulgado recentemente papel.
Para desativar o LED, os pesquisadores tiveram que encontrar uma maneira de ativar o STANDBY, mas também configurar o sensor de imagem para ignorá-lo. porque quando o STANDBY fica ativo, a saída do sensor de imagem é desativada automaticamente, portanto, a webcam não pode ser usada para capturar imagens.
Para conseguir isso, os pesquisadores criaram uma versão modificada do firmware iSight e reprogramaram a câmera com ele, usando um método que envolve o envio de solicitações de dispositivo USB específicas do fornecedor do host OS. Eles descobriram que esta operação não requer privilégios de root e pode ser feita a partir de um processo iniciado por uma conta de usuário comum.
Os pesquisadores da JHU criaram um aplicativo de prova de conceito chamado iSeeYou que detecta se uma webcam iSight está instalado, reprograma-o com o firmware modificado e então permite que o usuário inicie a câmera e desative o LIDERADO. Quando o aplicativo iSeeYou é interrompido, a câmera é reprogramada com o firmware original inalterado.
Além de espionar os usuários sem que eles saibam, a capacidade de reprogramar facilmente a câmera iSight pode também permitem que o malware escape de um sistema operacional executado dentro de uma máquina virtual, os pesquisadores disse.
Para demonstrar isso, eles reprogramaram a câmera de um sistema operacional convidado rodando dentro do VirtualBox – um programa de máquina virtual – para atuar como um teclado USB da Apple. Isso permitiu que eles enviassem pressionamentos de tecla que transferiam a propriedade do teclado do sistema operacional convidado para o sistema operacional host e, em seguida, executavam comandos shell no sistema operacional host.
Os pesquisadores da JHU não apenas documentaram a fraqueza do iSight, mas também propuseram defesas, tanto no nível de software quanto de hardware, contra ataques que possam tentar explorá-lo. Eles construíram uma extensão de kernel do Mac OS X chamada iSightDefender que bloqueia solicitações específicas de dispositivos USB que poderiam ser usadas para carregar firmware não autorizado a ser enviado para a câmera.
Essa extensão do kernel eleva a fasquia para os invasores porque eles precisariam de acesso root para contorná-la. No entanto, a defesa mais abrangente seria alterar o design do hardware da câmera para que o LED não possa ser desativado pelo software, disseram os pesquisadores.
Várias propostas sobre como isso pode ser alcançado, bem como recomendações sobre como proteger o processo de atualização do firmware, são apresentadas no documento.
Os pesquisadores disseram que enviaram o relatório e seu código de prova de conceito para a Apple, mas não foram informados sobre possíveis planos de mitigação.
A Apple não respondeu imediatamente a um pedido de comentário.
Houve um aumento nos últimos anos no número de casos em que hackers espionaram vítimas – principalmente mulheres – em seus quartos e outros ambientes privados por meio de suas webcams.
Um caso recente de “sextorsão” – extorsão usando fotos de vítimas nuas obtidas ilegalmente – envolveu Cassidy Wolf, de 19 anos, vencedora do título de Miss Teen USA de 2013.
Em setembro, o FBI prendeu um homem de 19 anos chamado Jared Abrahams, de Temecula, Califórnia, sob a acusação de ter hackeado as contas de mídia social de várias mulheres, incluindo Wolf, e tirou fotos delas nuas controlando remotamente seus webcams. Ele então supostamente contatou as vítimas e ameaçou postar as fotos em seus perfis de mídia social. a menos que eles enviassem a ele mais fotos e vídeos nus ou fizessem o que ele exigia por cinco minutos no vídeo do Skype chats.
Lobo disse em entrevistas na mídia que ela não tinha ideia de que alguém a estava observando pela webcam porque a luz da câmera não acendeu.
Existem hackers que agrupam ferramentas de administração remota (RATs) que podem gravar vídeo e som de webcams com malware, disseram os pesquisadores da JHU em seu artigo. Com base em tópicos de discussão em fóruns de hackers, muitos desses indivíduos, conhecidos como “ratters”, estão interessados na capacidade de desativar os LEDs da webcam, mas não acham que seja possível, eles disse.
Esta nova pesquisa mostra que é possível, pelo menos em alguns computadores.
“Neste artigo, examinamos apenas uma única geração de webcams produzidas por um único fabricante”, disseram os pesquisadores. “Em trabalhos futuros, planejamos expandir o escopo de nossa investigação para incluir novas webcams da Apple (como suas câmeras FaceTime de alta definição mais recentes), bem como webcams instaladas em outros laptops populares marcas.”
Especialistas em segurança aconselharam os usuários no passado a cobrir suas webcams quando não estavam em uso, a fim de evitar espionagem caso seus computadores fossem comprometidos.