爱科技、爱创意、爱折腾、爱极致,我们都是技术控
您需要 登录 才可以下载或查看,没有账号?立即注册
x
IT之家 12 月 3 日消息,今年 11 月举办的 POC 2024 活动中,网络安全专家 Andrey Konovalov 展示了新的概念验证程序 Lights Out,可以通过更新固件的方式关闭 LED 指示灯,从而在用户不知情下悄悄摄录像。 Konovalov 还在 Github 上分享了 Lights Out 源代码,可以在不物理访问笔记本的情况下,通过软件控制 ThinkPad X230 上的网络摄像头 LED 灯。 Konovalov 以联想 ThinkPad X230 笔记本作为演示,不过他在演讲幻灯片中表示,由于通过 USB 连接网络摄像头并允许重刷其固件,是笔记本电脑制造商的常见设计模式,因此其它主流笔记本可能同样存在该风险漏洞。 漏洞简介 IT之家简要介绍下该漏洞细节如下:ThinkPad X230(以及同期的其它主流笔记本)的摄像头基于 Ricoh R5U8710 USB 摄像头控制器,而该控制器的固件 SROM 部分存储在摄像头电路板的 SPI 闪存芯片上,并且可以通过 USB 重刷。 X230 摄像头板上的 LED 连接到 R5U8710 控制器的 GPIO B1 引脚。GPIO B 端口映射到 R5U8710 内部基于 8051 的 CPU 的 XDATA 存储空间中的 0x80 地址。因此,更改该地址的值会更改 LED 的状态。无论摄像头当前是否正在传输视频,此方法都有效。 物理遮挡是终极方案 Konovalov 也表示目前大部分笔记本电脑都提供了摄像头盖子,可以在不使用时盖住摄像头;即便没有,也可以效仿扎克伯格,使用胶带等方式,物理盖住摄像头。
| 
IP归属地
雷达卡
发表于 2024-12-3 19:40:58
提帖卡
置顶卡
锁帖卡
解锁卡
显目卡
千斤顶
