Postřehy z bezpečnosti: Hacknutí webkamery na notebooku.

Na hacknutí webkamery se mě lidé často ptají. „Je možné, aby někdo hacknul webkameru na mém notebooku či počítači? Pravda je taková, že je to snadnější, než by si mnozí mohli myslet. Všechny nástroje potřebné na takový útok jsou běžně dostupné (např. v rámci Metasploit Frameworku). Jakmile je počítač prolomen, útočníkovi stačí k přenosu obrazu z webkamery již jen jediný příkaz.

 

Webový prohlížeč jako cesta k hacknutí PC

Pro napadaní notebooku jsem zvolil exploit zneužívající chyby ve FireFoxu (CVE-2014-1510 a CVE-2014-1511). Z mého pohledu je metoda infiltrace do počítače mnohem zajímavější než samotný hack webkamery, protože:

  • Nevyžaduje interakci uživatele: pro úspěšné napadení není třeba jakékoliv uživatelské interakce (není třeba na nic klikat, ani nic potvrzovat), stačí když je prohlížeči doručen škodlivý kód.
  • Uživatel se nemůže jednoduše bránit: škodlivý kód může na uživatele čekat na jakémkoliv webu, který uživatel navštíví. Kód tam může dát zákeřný správce webu, hacker, který daný web prolomil, či je tam vložen třetí stranou (např. malvertising). Je důležité si totiž uvědomit, že jako uživatelé nemáme žádnou kontrolu nad tím, co webové servery posílají do našich zařízení. Samozřejmě v tomto případě se jedná o starou chybu, která je již opravena, nicméně zero day chyby se stále objevují.
  • Napadení přichází skrze webový prohlížeč: všichni už tak nějak ví, že je dobré mít na PC antivirus a aktualizovat operační systém. Obecně méně se však ví, že mít aktualizovaný webový prohlížeč je stejně důležité.

    Jak se bránit proti hacknutí webkamery

    Nejbezpečnější je koupit si zařízení bez kamery a mikrofonu.  Pokud již webkameru v zařízení máte, můžete ji zakázat v BIOSu/UEFI, správci zařízení, nebo fyzicky něčím přelepit. Když zadáte do Google dotaz na „webcam sticker“, dostanete širokou škálu řešení včetně „šoupátek“, které vám umožní webkameru i občas použít.

    V jednom z dalších článků se budu věnovat obraně detailněji, tak si dovolím protentokrát ponechat odstavec jen takto stručný.

    Pokud se vám video líbilo, mrkněte na předešlý díl postřehů z bezpečnosti: Jak se nechat hacknout RDP serverem

    Těším se zase příště.

    Martin Haller