近日,網絡安全領域迎來了一次引人深思的演示,網絡安全專家Andrey Konovalov在POC 2024活動中,公開了一項名為Lights Out的概念驗證程序。該程序通過更新固件的方式,能夠在用戶毫不知情的情況下,關閉筆記本電腦上的LED指示燈,從而悄無聲息地進行攝錄像操作。
Konovalov不僅在POC 2024活動中進行了演示,還在Github上分享了Lights Out的源代碼。這一源代碼展示了如何在不直接物理接觸筆記本的情況下,通過軟件手段控制ThinkPad X230型號筆記本電腦上的網絡攝像頭LED燈狀態。這意味著,即便用戶認為攝像頭已關閉,實際上它仍可能在運作。
Konovalov選擇了聯想ThinkPad X230作為演示對象,但他同時指出,這一漏洞可能不僅限于ThinkPad X230。由于許多筆記本電腦制造商在設計時采用了類似的模式,即通過USB連接網絡攝像頭并允許重刷其固件,因此其他主流筆記本同樣可能面臨這一風險。這一發現無疑為網絡安全領域帶來了新的挑戰。
具體到該漏洞的細節,ThinkPad X230及其同期主流筆記本的攝像頭通常基于Ricoh R5U8710 USB攝像頭控制器。這一控制器的固件SROM部分存儲在攝像頭電路板的SPI閃存芯片上,且可通過USB接口進行重刷。這意味著攻擊者有可能通過軟件手段修改固件,進而控制攝像頭的行為,包括LED燈的開關狀態。
在ThinkPad X230的攝像頭電路板上,LED燈連接到R5U8710控制器的GPIO B1引腳。這一引腳映射到控制器內部基于8051的CPU的XDATA存儲空間中的0x80地址。因此,通過修改這一地址的值,攻擊者就可以改變LED燈的狀態,無論攝像頭是否正在傳輸視頻。這一機制使得攻擊者能夠在用戶毫無察覺的情況下進行攝錄像。
面對這一漏洞,Konovalov提出了一個簡單而有效的防御措施:物理遮擋。他指出,目前大多數筆記本電腦都配備了攝像頭蓋子,用戶可以在不使用攝像頭時將其蓋住。即使沒有專門的蓋子,用戶也可以采取類似扎克伯格的做法,使用膠帶等物品物理遮擋攝像頭,以防止被惡意利用。
