《Disney +》 迪士尼、Marvel、彼思、星球大戰…  華碩發表搭載兼具遊戲模式和遙距辦公模式的遊戲路由器「RT-AX86S」!最大傳輸速度可達4804Mbps!   『審判之逝:湮滅的記憶』今日9月24日發售!在此將偵探・八神所面臨的全新事件一次統整!【第3回特輯】   Puzzle & Dragons中加入「東京卍復仇者」與「炎炎消防隊」角色!週刊少年合作活動開跑!   Pulse 3D 無線耳機組午夜黑款10月29日登場   多多自走棋S13賽季海洋之旅 7月22日揭開神秘面紗   《Arizona Sunshine》創作者的PS VR新作《After the Fall》帶來快節奏協力FPS動作體驗   OlliOlliWorld:新的炙岩生物群落現已揭曉,已確認PS5採用120fps   「寶可夢 晶燦鑽石/明亮珍珠」、「寶可夢傳說 阿爾宙斯」發售日確定! 

筆電攝像頭LED指示燈可透過韌體漏洞關閉?不幸中的大幸是……

商業


研究人員Andrey Konovalov早前在韓國首爾POC資安會議上,揭示聯想ThinkPad X230筆記型電腦的內建攝像頭存在嚴重安全漏洞,可透過韌體修改關閉攝像頭的LED指示燈,使攝像頭在不亮燈的情況下秘密運作。

漏洞原理涉及韌體修改

該漏洞涉及攝像頭控制晶片Ricoh R5U8710的韌體設計缺陷。研究發現,攝像頭的LED指示燈是通過GPIO B1引腳控制,而該引腳可透過韌體層面進行操控。透過USB介面向攝像頭發送特定指令,可重寫SROM韌體,進而實現對LED指示燈的控制

影響範圍與防護建議

研究指出,除X230外,使用相同攝像頭模組的X220等同期ThinkPad型號亦可能受影響。聯想(Lenovo)資安團隊回應稱,2019年後推出的機型已加入韌體數位簽章驗證機制,不受此漏洞影響。

廠商已採取改進措施

聯想PSIRT(產品安全事件應變小組)表示:”如X230等較舊的EOL(生命週期結束)系統確實未包含韌體更新驗證。自2019年起,我們的影像處理器已加入攝像頭韌體的數位簽章檢查,並支援具寫入保護的安全封裝更新。”

防護建議

專家建議使用舊型號ThinkPad的用戶可考慮在不使用攝像頭時,使用實體遮蔽貼等方式保護隱私。此發現再次證實,在非必要時遮蓋筆電攝像頭的做法並非過度偏執。

資料來源:https://powerofcommunity.net/poc2024/Andrey%20Konovalov,%20Lights%20Out%20-%20Covertly%20turning%20off%20the%20ThinkPad%20webcam%20LED%20indicator.pdf

TechApple

隨機商業新聞

Micorsoft