1. Malware can turn off webcam LED and record video, demonstrated on ThinkPad X230 (github.com)
本文介绍了一种在ThinkPad X230笔记本上实现的技术演示,证明恶意软件能够在不亮起摄像头LED指示灯的情况下通过网络摄像头录制视频。
核心原理与攻击流程
该方法通过USB接口重新刷写摄像头固件实现。X230的摄像头通过USB内部连接,其主控芯片(Ricoh R5U8710)允许通过USB重写其固件。攻击者向固件中植入一段名为“通用植入体”的定制代码,该代码能够:
- 读写摄像头主控芯片8051 CPU的内存空间。
- 直接控制连接在GPIO B1引脚上的LED指示灯(对应XDATA内存空间地址0x80),从而在摄像头工作时强制关闭LED。
- 动态上传并执行第二阶段植入体,用于更深层控制或逆向工程。
这种方法可能影响许多其他品牌的笔记本电脑,因为通过USB连接摄像头并允许其固件更新是一种常见的设计模式。
仓库提供的工具
srom.py:通过USB读写基于R5U8710的摄像头的SROM固件部分。patch_srom.py:为特定型号(FRU 63Y0248)的摄像头SROM镜像打补丁,添加“通用植入体”。fetch.py:通过植入体,动态读取摄像头的IRAM、XDATA或CODE内存空间内容。led.py:通过“通用植入体”覆盖XDATA地址0x80的值,从而控制摄像头LED的开/关。
内存转储文件
srom/x230.bin:原厂X230摄像头模块的SROM内容。srom/63Y0248.bin:FRU 63Y0248摄像头模块的SROM内容。code/63Y0248.bin:FRU 63Y0248摄像头模块的CODE内存空间内容(泄露)。
重要注意事项
- 刷写摄像头固件操作存在风险,可能导致摄像头变砖。
- 更新固件后需要完全断电重启(非系统重启),新的固件才会被加载。
- 此技术主要基于在POC 2024会议上的演讲《Lights Out: Covertly turning off the ThinkPad webcam LED indicator》中披露的细节。