Postřehy z bezpečnosti: Hacknutí webkamery na notebooku

Na hacknutí webkamery se mě lidé často ptají. „Je možné, aby někdo hacknul webkameru na mém notebooku či počítači? Pravda je taková, že je to snadnější, než by si mnozí mohli myslet. Všechny nástroje potřebné na takový útok jsou běžně dostupné (např. v rámci Metasploit Frameworku). Jakmile je počítač prolomen, útočníkovi stačí k přenosu obrazu z webkamery již jen jediný příkaz.

Opět jsem si pro vás připravil video demonstraci. Nicméně, jak píšu, nejprve je nutné počítač oběti infikovat.

Webový prohlížeč jako cesta k hacknutí PC

Pro napadaní notebooku jsem zvolil exploit zneužívající chyby ve FireFoxu (CVE-2014-1510 a CVE-2014-1511). Z mého pohledu je metoda infiltrace do počítače mnohem zajímavější než samotný hack webkamery, protože:

• Nevyžaduje interakci uživatele: pro úspěšné napadení není třeba jakékoliv uživatelské interakce (není třeba na nic klikat, ani nic potvrzovat), stačí když je prohlížeči doručen škodlivý kód.
• Uživatel se nemůže jednoduše bránit: škodlivý kód může na uživatele čekat na jakémkoliv webu, který uživatel navštíví. Kód tam může dát zákeřný správce webu, hacker, který daný web prolomil, či je tam vložen třetí stranou (např. malvertising). Je důležité si totiž uvědomit, že jako uživatelé nemáme žádnou kontrolu nad tím, co webové servery posílají do našich zařízení. Samozřejmě v tomto případě se jedná o starou chybu, která je již opravena, nicméně zero day chyby se stále objevují.
• Napadení přichází skrze webový prohlížeč: všichni už tak nějak ví, že je dobré mít na PC antivirus a aktualizovat operační systém. Obecně méně se však ví, že mít aktualizovaný webový prohlížeč je stejně důležité.

DEMO: Hacknutí webové kamery

Pojďme se tedy podívat, jak by takové hacknutí webkamery mohlo reálně probíhat. Pokusil jsem se video připravit „hravou“ formou a připojit svůj komentář. Za vaši zpětnou vazbu budu rád.

Postřeh pro bystré: Možná jste si ve videu všimli, že jakmile útočník přistoupil na webkameru oběti, rozsvítila se u webkamery led dioda signalizující zapnutou webkameru. To je určitě skvělý nástroj, avšak i ten se dá obejít (iSeeYou: Disabling the MacBook Webcam Indicator LED, nebo How to disable webcam light on Windows).

Jak se bránit proti hacknutí webkamery

Nejbezpečnější je koupit si zařízení bez kamery a mikrofonu. 😊 Pokud již webkameru v zařízení máte, můžete ji zakázat v BIOSu/UEFI, správci zařízení, nebo fyzicky něčím přelepit. Když zadáte do Google dotaz na „webcam sticker“, dostanete širokou škálu řešení včetně „šoupátek“, které vám umožní webkameru i občas použít.

V jednom z dalších článků se budu věnovat obraně detailněji, tak si dovolím protentokrát ponechat odstavec jen takto stručný.

Pokud se vám video líbilo, mrkněte na předešlý díl postřehů z bezpečnosti: Jak se nechat hacknout RDP serverem

Těším se zase příště.

Martin Haller

#zalepšíIT✌