韓国のセキュリティカンファレンスPOC 2024で、ThinkPad X230のWebカメラのLED点灯を無効化する脆弱性に関して報告されたそうです。
Webカメラは撮影時にLEDが点灯するため、何らかの形でWebカメラから画像を取得していた場合にはLED点灯でそれがわかります。ここに脆弱性があった場合、LEDを点灯せずにWebカメラが起動できるため様々な問題につながる可能性があります。
内部でUSB接続されているWebカメラのファームウェアを書き換えるという手法です。
2012年発売のThinkPad X230のWebカメラ内部で使われているRicoh R5U8710というコントローラーの脆弱性を利用した物で、この手法は同じコントローラーを使用している製品でも利用出来る可能性があります。
従来Webカメラ自体は容易にハッキング出来ましたが、LEDライトの制御まで可能な事例が大きく公開されたことはありませんでした。それが実際に出来る事が公表されたことで、関係各所は脆弱性を塞ぐ事が必要になってきそうです。
なお、近年のWebカメラはLEDライト自体が電気的に、カメラ機能を使う際に自動点灯する仕組みで、ファームウェアでの制御自体が出来なくなっている物も多いようです。
Windowsで自分が使っているWebカメラを知る方法
デバイスマネージャーを開く
カメラのIntegrated Webcamのプロパティから、詳細を確認する。
ハードウェアIDの値を読み取る USB\VID_1BCF&PID_2A02 の表示の場合はベンダーID(VID)1BCFでプロダクトID(2A02)の製品です。
USBのベンダーIDなどは固定です。
この画像の場合は、1BCFでSunplus Innovation Technology社の2A02という製品な事がわかります。
ThinkPad X230に使われているWebカメラはVID 02D0、PID 02D0で、Bison Electronics社製のWebカメラな事がわかります。
検索すると、当時の他のLenovo製品、Acer、HP、Fujitsu製品などにも使われていたようです。
https://www.itmedia.co.jp/news/articles/2412/20/news066.html
https://github.com/xairy/lights-out
