Večina spletnih kamer ima opozorilno lučko, ki označuje, kdaj so aktivne, vendar je možno, da zlonamerna programska oprema to onemogoči pomembna funkcija zasebnosti na starejših računalnikih Mac, je pokazala raziskava univerze Johns Hopkins (JHU) v Baltimore.
Asistent raziskovalnega profesorja JHU Stephen Checkoway in podiplomski študent Matthew Brocker sta raziskovala zasnovo strojne opreme prve generacije iSighta model spletne kamere, ki je bil nameščen v Applovih računalnikih iMac in MacBook, izdanih pred letom 2008, in ugotovil, da je njegovo strojno programsko opremo mogoče enostavno spremeniti, da onemogoči indikator LED.
Na ravni strojne opreme je LED neposredno pritrjena na slikovni senzor spletne kamere, zlasti na njen zatič STANDBY. Ko je signal STANDBY aktiven, je LED izklopljena in ko ni aktivna, LED sveti, so povedali raziskovalci JHU v nedavno objavljeni papir.
Da bi onemogočili LED, so raziskovalci morali najti način za aktiviranje STANJA PRIPRAVLJENOSTI, a tudi konfigurirati slikovni senzor, da ga ignorira ker ko postane STANDBY aktiven, se izhod slikovnega senzorja samodejno onemogoči, zato spletne kamere ni mogoče uporabiti za zajem slike.
Da bi to dosegli, so raziskovalci ustvarili spremenjeno različico vdelane programske opreme iSight in jo nato ponovno programirali kamero z njo, z uporabo metode, ki vključuje pošiljanje zahtev za napravo USB, specifične za prodajalca, od gostitelja OS. Ugotovili so, da ta operacija ne zahteva root privilegijev in jo je mogoče izvesti s postopkom, ki ga zažene običajni uporabniški račun.
Raziskovalci JHU so ustvarili aplikacijo za dokaz koncepta, imenovano iSeeYou, ki zazna, ali je spletna kamera iSight nameščen, ga znova programira s spremenjeno vdelano programsko opremo in nato uporabniku dovoli, da zažene kamero in onemogoči LED. Ko je aplikacija iSeeYou ustavljena, se fotoaparat ponovno programira z originalno, nespremenjeno vdelano programsko opremo.
Poleg vohunjenja za uporabniki, ne da bi ti vedeli, bi lahko zmožnost preprostega ponovnega programiranja kamere iSight prav tako omogočajo, da zlonamerna programska oprema pobegne iz operacijskega sistema, ki teče znotraj virtualnega stroja, ugotavljajo raziskovalci rekel.
Da bi dokazali, so kamero reprogramirali iz gostujočega operacijskega sistema, ki se izvaja znotraj VirtualBoxa – programa za navidezni stroj – da deluje kot tipkovnica Apple USB. To jim je omogočilo pošiljanje pritiskov tipk, ki so prenesli lastništvo tipkovnice iz gostujočega OS v gostiteljski OS in nato izvršili ukaze lupine v gostiteljskem OS.
Raziskovalci JHU niso le dokumentirali slabosti iSighta, temveč so predlagali tudi obrambo, tako na ravni programske kot strojne opreme, pred napadi, ki bi jo lahko poskušali izkoristiti. Zgradili so razširitev jedra Mac OS X, imenovano iSightDefender, ki blokira pošiljanje posebnih zahtev za naprave USB, ki bi se lahko uporabile za nalaganje lažne vdelane programske opreme, v kamero.
Ta razširitev jedra dviguje merila za napadalce, saj bi potrebovali korenski dostop, da bi jo zaobšli. Vendar pa bi bila najobsežnejša obramba sprememba strojne zasnove kamere, tako da LED ni mogoče onemogočiti s programsko opremo, so povedali raziskovalci.
V prispevku je predstavljenih več predlogov o tem, kako bi to lahko dosegli, pa tudi priporočila o tem, kako zavarovati postopek posodabljanja vdelane programske opreme.
Raziskovalci so povedali, da so poročilo in svojo kodo za dokaz koncepta poslali podjetju Apple, vendar niso bili obveščeni o morebitnih načrtih za ublažitev.
Apple se ni takoj odzval na prošnjo za komentar.
V zadnjih letih se je povečalo število primerov, v katerih so hekerji vohunili za žrtvami – predvsem ženskami – v njihovih spalnicah in drugih zasebnih okoljih prek njihovih spletnih kamer.
En nedavni primer "sextortion" - izsiljevanja z uporabo nezakonito pridobljenih golih fotografij žrtev - je vključeval 19-letno Cassidy Wolf, zmagovalko naslova Miss Teen USA leta 2013.
Septembra je FBI aretiral 19-letnika po imenu Jared Abrahams iz Temecule v Kaliforniji zaradi obtožb, da je vdrl v račune več žensk v družabnih omrežjih, vključno z Wolfom, in z daljinskim upravljanjem posnel njihove gole fotografije spletne kamere. Nato naj bi stopil v stik z oškodovancema in ji grozil, da bo slike objavil na njihovih profilih na družbenih omrežjih razen če so mu poslali več golih fotografij in videoposnetkov ali naredili, kar je zahteval, pet minut v videu Skype klepeti.
volk povedal v intervjujih za medije da ni vedela, da jo nekdo opazuje prek njene spletne kamere, ker lučka kamere ni svetila.
Obstajajo hekerji, ki združujejo orodja za oddaljeno upravljanje (RAT), ki lahko snemajo video in zvok iz spletnih kamer, z zlonamerno programsko opremo, so v svojem prispevku zapisali raziskovalci JHU. Glede na teme razprav na hekerskih forumih je veliko teh posameznikov, ki so znani kot "podgane", jih zanima možnost onemogočanja LED diod spletne kamere, vendar se jim to ne zdi mogoče rekel.
Ta nova raziskava kaže, da je to mogoče, vsaj na nekaterih računalnikih.
"V tem prispevku smo pregledali samo eno generacijo spletnih kamer, ki jih je proizvedel en proizvajalec," so povedali raziskovalci. »V prihodnjem delu nameravamo razširiti obseg naše preiskave na novejše Applove spletne kamere (kot npr njihove najnovejše kamere visoke ločljivosti FaceTime) kot tudi spletne kamere, nameščene v drugih priljubljenih prenosnikih blagovne znamke."
Varnostni strokovnjaki so v preteklosti uporabnikom svetovali, naj pokrijejo svoje spletne kamere, ko jih ne uporabljajo, da bi se izognili vohunjenju, če bi bili njihovi računalniki ogroženi.