ウェブカメラのLEDを消して動画を録画するマルウェア、ThinkPad X230で実演
(github.com/xairy)- このリポジトリには、ThinkPad X230のウェブカメラLEDをソフトウェアで制御できるツールが含まれている
- 物理的なアクセスなしでも、ウェブカメラを通じて動画を録画できるマルウェアの可能性を示すために作られた
- USB経由でウェブカメラのファームウェアを再フラッシュし、LEDを任意に制御できる機能を追加する
- このアプローチは、他の多くのノートPCにも影響する可能性がある
ツール
- srom.py: Ricoh R5U8710ベースのウェブカメラのSROMファームウェアをUSB経由で読み書きする。ウェブカメラは起動時にのみSROMファームウェアを読み込むため、更新したファームウェアを読み込むにはノートPCを完全にシャットダウンして再度起動する必要がある。
- patch_srom.py: FRU
63Y0248ウェブカメラのSROMイメージをパッチして、汎用インプラントを追加する。元のX230ウェブカメラSROMイメージと一緒に使うには修正が必要。 - fetch.py: 汎用インプラントを通じて動的にアップロードされた第2段階インプラントにより、
IRAM、XDATA、CODEメモリ空間の内容をUSB経由で取得する。 - led.py: 汎用インプラントを通じて
XDATAのアドレス0x80の値を上書きし、ウェブカメラLEDをオンまたはオフにする。
メモリダンプ
- srom/x230.bin: 元のX230ウェブカメラモジュールのSROM内容。
- srom/63Y0248.bin: FRU
63Y0248ウェブカメラモジュールのSROM内容。 - code/63Y0248.bin: FRU
63Y0248ウェブカメラモジュールから抽出されたCODEメモリ空間の内容。ブートROMはオフセット0xb000より下にあり、元のX230ウェブカメラモジュールのブートROMと同一。
1件のコメント
Hacker Newsの意見