韓国のセキュリティカンファレンス「POC 2024」で発表された「Lights Out: Covertly turning off the ThinkPad webcam LED indicator」は、LEDを点灯させずにノートPCのカメラで盗撮する手法を提案した内容である。
研究者は、ThinkPad X230に搭載されているWebカメラのLEDインジケーターを、ユーザーに気付かれることなく無効化できる脆弱性を発見。この脆弱性を利用すると、マルウェアがWebカメラが作動していることを示すLEDインジケーターを無効化したまま、カメラを使用することが可能となる。
ThinkPad X230のWebカメラの構造は次のような仕組みになっている。カメラの中核となるのは「Ricoh R5U8710」というUSBカメラコントローラーで、このコントローラーの動作を制御するファームウェアはSPIフラッシュチップに保存されている。このファームウェアはUSB経由で書き換えできる。
カメラの動作状態を示すLEDは、コントローラー内部のGPIO B1という制御ピンに接続されており、このピンはメモリ上の特定のアドレスに割り当てられている。このアドレスの値を変更することで、カメラの使用状態に関係なくLEDの点灯・消灯を自由に制御できる。
このような脆弱性が発見されたのはThinkPad X230であるが、USBを介してWebカメラを接続しファームウェアの書き換えを許可する設計パターンは、特に同時期の他のラップトップでも採用されている可能性があり、同様の問題の存在が懸念される。
※Innovative Tech:このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X: @shiropen2