This post is also available in:
English (אנגלית)
גילוי שנערך לאחרונה על ידי מהנדס האבטחה אנדריי קונובלוב מגלה כי מצלמות אינטרנט מסוימות, כולל זו של הלפטופ Lenovo ThinkPad X230, יכולות להישלט על ידי תוכנות זדוניות באופן שעוקף את נורית הלד שנמצאת לצד המצלמה ומסמנת כשהיא דולקת. ממצא זה עורר דאגה סביב הפוטנציאל של חולשה זו להיות משומשת לצורך מעקב חשאי.
קונובלוב, הידוע תחת השם "xairy" באתרGitHub , חשף חולשה במערכת המצלמה של ThinkPad X230 אשר עוררה תשומת לב רבה באינטרנט. הבעיה טמונה בעיצוב מצלמת האינטרנט של ה-X230, המתחברת באמצעות USB ומשתמשת בבקר המצלמה מבוסס ה-USB – Ricoh R5U8710. בקר זה מאחסן חלק מהקושחה שלו ושולט בנורית דרך אחד הפינים שלה. כלומר – הנורית יכולה להיות מודלקת ומכובה ללא תלות בפעולה של המצלמה. באמצעות תוכנה מותאמת אישית, קונובלוב הצליח לשכתב את הקושחה, מה שאפשר שליטה בנורית גם כאשר המצלמה עצמה הייתה כבויה.
חולשה זו אינה ייחודית ל-X230. קונובלוב הסביר כי מחשבים ניידים רבים אחרים עם מצלמות אינטרנט מבוססות USB יכולים להיות פגיעים להתקפות דומות, כיוון שמצלמות אינטרנט רבות משתמשות בנוריות הנשלטות ע"י תוכנה. בעוד שממצאיו של קונובלוב מתמקדים במערכות ישנות יותר, כמו ה-X230, התקנים חדשים יותר עם מצלמות אינטרנט USB עשויים גם להיות בסיכון.
לנובו הגיבה לתגלית בכך שציינה כי המערכות הנוכחיות שלהם, הכוללות מעבדי תמונות מאובטחים יותר, כוללות בדיקות חתימה דיגיטלית כדי למנוע עדכוני קושחה לא מורשים. עם זאת, ה-X230, אשר חסר הגנות כאלה, מייצג בעיה רחבה יותר של אימות קושחה לקוי על מכשירים ישנים יותר.
הגילוי מוסיף לחששות הגוברים סביב פרטיות מצלמת האינטרנט, וסוג זה של התקפה, המאפשרת מעקב סמוי מבלי להפעיל את נורית המחוון מהווה סיכון ביטחוני חמור. בעוד שמחשבים ניידים מודרניים עשויים להיות בעלי אמצעי הגנה טובים יותר, ההעדפה בקרב משתמשים מסוימים למתגים פיזיים או לכיסוי מצלמה מדגיש את חששות הפרטיות מתמשכים.
כמו שקונובלוב אמר, ובצדק, הדבקת פיסת נייר דבק על מצלמת האינטרנט יכולה להיות מעשה לא כזה פרנואידי אחרי הכל.
