У большинства веб-камер есть предупреждающий индикатор, который указывает, когда они активны, но вредоносное ПО может отключить его. важная функция конфиденциальности на старых компьютерах Mac, согласно исследованию Университета Джона Хопкинса (JHU) в Балтимор.
Ассистент-исследователь JHU Стивен Чековей и аспирант Мэтью Брокер исследовали аппаратную конструкцию iSight первого поколения. модель веб-камеры, установленная на компьютерах Apple iMac и MacBook, выпущенных до 2008 года, и обнаружила, что ее прошивку можно легко изменить, чтобы отключить светодиодный индикатор.
На аппаратном уровне светодиод напрямую подключен к датчику изображения веб-камеры, особенно к его контакту STANDBY. Когда сигнал STANDBY активен, светодиод выключен, а когда он не активен, светодиод горит, сообщили исследователи JHU в недавно выпущенном отчете. бумага.
Чтобы отключить светодиод, исследователям пришлось найти способ активировать режим ожидания, а также настроить датчик изображения таким образом, чтобы он игнорировал его. потому что, когда STANDBY становится активным, выход датчика изображения автоматически отключается, поэтому веб-камера не может использоваться для захвата изображений.
Для этого исследователи создали модифицированную версию прошивки iSight, а затем перепрограммировали ее. камера с ним, используя метод, который включает отправку запросов USB-устройства конкретного поставщика с хоста ОПЕРАЦИОННЫЕ СИСТЕМЫ. Они обнаружили, что эта операция не требует привилегий root и может быть выполнена из процесса, запущенного под учетной записью обычного пользователя.
Исследователи JHU создали экспериментальное приложение под названием iSeeYou, которое определяет, включена ли веб-камера iSight. установлен, перепрограммирует его модифицированной прошивкой, а затем позволяет пользователю запустить камеру и отключить ВЕЛ. Когда приложение iSeeYou остановлено, камера перепрограммируется с исходной неизмененной прошивкой.
Помимо шпионажа за пользователями без их ведома, возможность легко перепрограммировать камеру iSight может также позволяют вредоносным программам выходить из операционной системы, которая работает внутри виртуальной машины, исследователи сказал.
Чтобы продемонстрировать это, они перепрограммировали камеру из гостевой ОС, работающей внутри VirtualBox — программы виртуальной машины, — чтобы она действовала как USB-клавиатура Apple. Это позволило им отправлять нажатия клавиш, которые передавали право собственности на клавиатуру с гостевой ОС на хост-ОС, а затем выполняли команды оболочки на хост-ОС.
Исследователи JHU не только задокументировали уязвимость iSight, но и предложили средства защиты, как на программном, так и на аппаратном уровне, от атак, которые могут попытаться ее использовать. Они создали расширение ядра Mac OS X под названием iSightDefender, которое блокирует отправку на камеру определенных запросов USB-устройств, которые могут использоваться для загрузки мошеннической прошивки.
Это расширение ядра поднимает планку для злоумышленников, поскольку для его обхода им потребуется root-доступ. Тем не менее, наиболее полной защитой было бы изменение аппаратной конструкции камеры, чтобы светодиод нельзя было отключить с помощью программного обеспечения, говорят исследователи.
В документе представлены несколько предложений о том, как этого можно достичь, а также рекомендации по обеспечению безопасности процесса обновления прошивки.
Исследователи заявили, что отправили отчет и свой код подтверждения концепции в Apple, но их не проинформировали о каких-либо возможных планах по смягчению последствий.
Apple не сразу ответила на запрос о комментариях.
В последние годы увеличилось количество случаев, когда хакеры шпионили за жертвами — в основном за женщинами — в их спальнях и других частных помещениях через их веб-камеры.
В одном из недавних случаев «сексторции» — вымогательстве с использованием незаконно полученных фотографий обнаженных жертв — участвовала 19-летняя Кэссиди Вульф, победительница конкурса «Мисс Подросток США» 2013 года.
В сентябре ФБР арестовало 19-летнего мужчину по имени Джаред Абрахамс из Темекулы, штат Калифорния, по обвинению во взломе учетные записи в социальных сетях нескольких женщин, в том числе Вольф, и сфотографировал их обнаженными, дистанционно управляя их веб-камеры. Затем он якобы связался с жертвами и угрожал опубликовать фотографии в их профилях в социальных сетях. если ему не прислали больше обнаженных фото и видео или не сделали то, что он требовал, в течение пяти минут в видео по скайпу. чаты.
Волк сказал в интервью СМИ что она понятия не имела, что кто-то наблюдает за ней через ее веб-камеру, потому что свет камеры не горел.
Есть хакеры, которые связывают инструменты удаленного администрирования (RAT), которые могут записывать видео и звук с веб-камер, с вредоносными программами, говорится в статье исследователей JHU. Судя по обсуждениям на хакерских форумах, многие из этих людей, известных как «крысы», интересует возможность отключения светодиодов веб-камеры, но не думаю, что это возможно, они сказал.
Это новое исследование показывает, что это возможно, по крайней мере, на некоторых компьютерах.
«В этой статье мы рассмотрели только одно поколение веб-камер, выпущенных одним производителем», — заявили исследователи. «В дальнейшей работе мы планируем расширить сферу нашего исследования, включив в него более новые веб-камеры Apple (такие как их самые последние камеры высокого разрешения FaceTime), а также веб-камеры, установленные в других популярных ноутбуках. бренды».
В прошлом эксперты по безопасности советовали пользователям закрывать свои веб-камеры, когда они не используются, чтобы избежать слежки в случае взлома их компьютеров.