Ilyen egy trükkös webkamerás kémkedés

Biztonsági kutatók egy olyan technikát dolgoztak ki, aminek felhasználásával észrevétlenül lehet kép- és videofelvételeket készíteni a Mac számítógépeken.
 

Már eddig is léteztek olyan kártékony programok, amelyek a Mac számítógépek megfertőzésére voltak képesek, és kémkedést tettek lehetővé. Egyebek mellett a Crisis, az Eleanor és a Mokes (DropboxCache) károkozók is rendelkeztek olyan összetevőkkel, amik révén hang- és videofelvételeket tudtak készíteni az áldozatukul eső rendszereken. Ugyanakkor a legtöbb esetben az ilyen jellegű kémkedés azzal járt, hogy a fertőzött Mac-en a webkamera aktiválásakor felvillant egy LED, amiből a felhasználó értesülhetett arról, hogy valamilyen szoftver hozzáfért a kamerához, és aktiválta azt.
 
2013-ban biztonsági kutatók bemutattak egy olyan módszert, amelynek révén a régebbi Mac OS X operációs rendszereken a LED működése manipulálhatóvá vált, azaz úgy lehetett a webkamerát bekapcsolni, hogy annak nem volt jól látható jele. Ráadásul ehhez sem root jogosultságra, sem a számítógéphez való fizikai hozzáférésre nem volt szükség. Azonban az Apple változtatott a kamerakezelésen, és a LED befolyásolása a korábbi módszerrel már nem volt kivitelezhető. Patrick Wardle, a Synack kutatási igazgatója szerint most azonban egy olyan technikát sikerült kidolgozniuk, amely szükségtelenné teszi a LED-del való bíbelődést.
 
Rejtett kémkedés
 
Wardle és a munkatársai kifejlesztettek egy olyan proof-of-concept kódot, amelynek célja, hogy az új módszer működőképességét igazolja. A technika a következő felvetésre épül: mi lenne, ha egy kártékony program pontosan akkor aktiválódna és kémkedne, amikor a felhasználó amúgy is valamilyen legális alkalmazás révén használja a webkamerát. Ehhez nincs másra szükség mint, hogy a károkozó figyelje a kamera állapotát, és a megfelelő időben mentse le a felvételeket.
 
A kutatók által elkészített kód pontosan ezt teszi. Folyamatosan monitorozza a kamera állapotát, és ha észleli, hogy azt valamely alkalmazás bekapcsolta, akkor rögtön aktivizálódik, majd menti a hang- és videofelvételeket. Ha pedig a kamera lekapcsol, akkor a károkozó is leáll a kémkedéssel. Vagyis amíg a felhasználó például FaceTime vagy Skype segítségével kommunikál, addig a háttérben a károkozó észrevétlenül kémkedhet. A módszernek pontosan ez adja a legnagyobb kockázatát, hiszen a támadók a felhasználó tudta nélkül készíthetnek felvételeket, ráadásul nincs szükségük emelt szintű jogosultságokra sem. Mindössze olyan alkalmazásra kell várakozniuk, amely a kamera és a mikrofon használatát olyan módon teszi lehetővé, hogy közben nem sandboxból fut.
 
Wardle elmondta, hogy a felfedezést már jelezték az Apple fejlesztői számára, de nem valószínű, hogy a problémára hamar megoldás születik. Már csak azért sem, mert most nincs szó olyan szoftveres biztonsági résről, amit egyszerűen be lehetne foltozni. Mivel Mac alatt a kamera, illetve a mikrofon egy megosztott erőforrás, ezért azokhoz egy időben több szoftver is hozzáférhet. Ha ez nem így lenne, akkor az a felhasználóknak sem feltétlenül tetszene.
 
Csak idő kérdése…
 
A biztonsági kutató szerint jelenleg nincs tudomásuk olyan (vadon terjedő) kártékony programról, amely kihasználná a most bemutatott módszert, de ez nem jelenti azt, hogy a kiberbűnözők a jövőben sem fogják a saját céljaikra fordítani a trükköt. Az ilyen jellegű kémkedés ellen olyan alkalmazásokkal lehet védekezni, mint például az OverSight, amely figyelmeztet a kamera és a mikrofon aktiválására.