De flesta webbkameror har en varningslampa som indikerar när de är aktiva, men det är möjligt för skadlig programvara att inaktivera detta viktig sekretessfunktion på äldre Mac-datorer, enligt forskning från Johns Hopkins University (JHU) i Baltimore.
JHU Assistant Research Professor Stephen Checkoway och doktorand Matthew Brocker undersökte hårdvarudesignen av första generationens iSight webbkameramodell installerad i Apples iMac- och MacBook-datorer som släpptes före 2008 och fann att dess firmware lätt kunde modifieras för att inaktivera indikator LED.
På hårdvarunivå är lysdioden direkt ansluten till webbkamerans bildsensor, särskilt dess STANDBY-stift. När STANDBY-signalen är aktiv är lysdioden avstängd och när den inte är aktiv lyser lysdioden, sa JHU-forskarna i en nyligen släppt papper.
För att inaktivera lysdioden var forskarna tvungna att hitta ett sätt att aktivera STANDBY, men också konfigurera bildsensorn att ignorera den eftersom när STANDBY blir aktivt inaktiveras bildsensorns utsignal automatiskt, så webbkameran kan inte användas för att fånga bilder.
För att uppnå detta skapade forskarna en modifierad version av iSights firmware och programmerade sedan om kameran med den, med en metod som innebär att leverantörsspecifika USB-enhetsbegäranden från värden skickas OS. De upptäckte att denna operation inte kräver root-privilegier och kan göras från en process som startas av ett vanligt användarkonto.
JHU-forskarna skapade en proof-of-concept-applikation som heter iSeeYou som upptäcker om en iSight-webbkamera är installerat, omprogrammerar den med den modifierade firmware och låter användaren sedan starta kameran och inaktivera LED. När iSeeYou-applikationen stoppas omprogrammeras kameran med den ursprungliga, oförändrade firmware.
Förutom att spionera på användare utan att de vet, kan möjligheten att enkelt programmera om iSight-kameran även tillåta skadlig programvara att fly från ett operativsystem som körs inuti en virtuell maskin, forskarna sa.
För att demonstrera detta omprogrammerade de kameran från ett gästoperativsystem som kördes inuti VirtualBox – ett virtuellt maskinprogram – för att fungera som ett Apple USB-tangentbord. Detta gjorde det möjligt för dem att skicka tangenttryckningar som överförde tangentbordets äganderätt från gäst-OS till värd-OS och sedan exekverade skalkommandon på värd-OS.
JHU-forskarna dokumenterade inte bara iSight-svagheten, utan föreslog också försvar, både på mjukvaru- och hårdvarunivå, mot attacker som kan försöka utnyttja den. De byggde en Mac OS X-kärntillägg som heter iSightDefender som blockerar specifika USB-enhetsbegäranden som kan användas för att ladda falsk firmware från att skickas till kameran.
Denna kärntillägg höjer ribban för angripare eftersom de skulle behöva root-åtkomst för att kringgå den. Det mest omfattande försvaret skulle dock vara att ändra kamerans hårdvarudesign så att lysdioden inte kan inaktiveras av programvara, sa forskarna.
Flera förslag på hur det skulle kunna uppnås, såväl som rekommendationer om hur man säkrar firmwareuppdateringsprocessen, presenteras i uppsatsen.
Forskarna sa att de har skickat rapporten och deras proof-of-concept-kod till Apple, men de har inte informerats om några möjliga begränsningsplaner.
Apple svarade inte omedelbart på en begäran om kommentar.
Det har skett en ökning under de senaste åren i antalet fall där hackare spionerar på offer – främst kvinnor – i deras sovrum och andra privata miljöer via deras webbkameror.
Ett nyligen inträffat fall av "sextortion" – utpressning med olagligt erhållna nakenbilder av offer – involverade 19-åriga Cassidy Wolf, vinnaren av Miss Teen USA-titeln 2013.
I september grep FBI en 19-årig man vid namn Jared Abrahams från Temecula, Kalifornien, anklagad för att han hackat sig in i flera kvinnors konton i sociala medier, inklusive Wolf, och tog nakenbilder av dem genom att fjärrstyra deras webbkameror. Han ska sedan ha kontaktat offren och hotat att lägga upp bilderna på deras sociala medieprofiler såvida de inte skickade fler nakenbilder och videor till honom eller gjorde vad han krävde i fem minuter i Skype-video chattar.
Varg sa i mediaintervjuer att hon inte hade någon aning om att någon tittade på henne genom hennes webbkamera eftersom kamerans ljus inte tändes.
Det finns hackare som paketerar verktyg för fjärradministration (RAT) som kan spela in video och ljud från webbkameror med skadlig programvara, sa JHU-forskarna i sin uppsats. Baserat på diskussionstrådar på hackerforum många av dessa individer, som är kända som "ratters", är intresserade av möjligheten att inaktivera webbkamerans lysdioder, men tror inte att det är möjligt, de sa.
Denna nya forskning visar att det är möjligt, åtminstone på vissa datorer.
"I det här dokumentet har vi bara undersökt en enda generation webbkameror som tillverkats av en enda tillverkare", sa forskarna. "I framtida arbete planerar vi att utöka omfattningen av vår undersökning till att inkludera nyare Apple-webbkameror (som t.ex deras senaste högupplösta FaceTime-kameror) samt webbkameror installerade i andra populära bärbara datorer märken."
Säkerhetsexperter har tidigare tipsat användare att täcka sina webbkameror när de inte används för att undvika att bli spionerat på ifall deras datorer äventyras.