Un investigador ha publicat una eina per obtenir el control del LED d’una d’aquestes càmeres en un equip de Lenovo.

Moltes persones tendeixen a posar una pestanya, cel·lofana o adhesiu a les webcams dels seus portàtils, si són dels que no inclouen l‘interruptor per tapar-les (cosa que ja es pot trobar en molts models nous). 

«Col·locar un adhesiu a la lent d’una webcam no és una cosa tan paranoica», ha assenyalat un investigador conegut amb el sobrenom de xairy a GitHub (i el nom real del qual és Andrey Konovalov).

Xairy ha trobat una manera d’actualitzar el microprogramari de la càmera web d’un portàtil Lenovo ThinkPad X230 i controlar el seu LED de manera independent si aquesta està activada. Un codi maliciós podria activar la càmera sense LED. 

Encara que aquest equip empresarial ja té més d’una dècada de vida, la decisió hauria generat certa polèmica a Hacker News. 

L’investigador opina que els LED de moltes càmeres web són controlables de manera similar usant una combinació de programari i microprogramari. 

Per part seva, el fabricant xinès ha subratllat que els sistemes més antics, que es troben al final de la seva vida útil, com el X230, no inclouen validació per a actualitzacions de microprogramari. 

Lenovo indica, igualment, que des del 2019 els seus processadors d’imatge «han inclòs comprovacions de signatura digital per al microprogramari de la càmera i hem admès actualitzacions segures de càpsules amb protecció contra escriptura».

Vigilància sibil·lina

Des de Cybernews creuen que la importància d’aquest tipus d’atac és que permet que els actors d’amenaces espiïn les víctimes sense ser detectats, i instal·lin programari maliciós en els models dels portàtils afectats. 

La firma també explica que moltes vegades ja s’han dut a terme atacs similars que han burlat els indicadors LED de la càmera. No obstant això, no totes les càmeres web integrades funcionarien d’aquesta manera.