研究人員Andrey Konovalov早前在韓國首爾POC資安會議上,揭示聯想ThinkPad X230筆記型電腦的內建攝像頭存在嚴重安全漏洞,可透過韌體修改關閉攝像頭的LED指示燈,使攝像頭在不亮燈的情況下秘密運作。
漏洞原理涉及韌體修改
該漏洞涉及攝像頭控制晶片Ricoh R5U8710的韌體設計缺陷。研究發現,攝像頭的LED指示燈是通過GPIO B1引腳控制,而該引腳可透過韌體層面進行操控。透過USB介面向攝像頭發送特定指令,可重寫SROM韌體,進而實現對LED指示燈的控制
影響範圍與防護建議
研究指出,除X230外,使用相同攝像頭模組的X220等同期ThinkPad型號亦可能受影響。聯想(Lenovo)資安團隊回應稱,2019年後推出的機型已加入韌體數位簽章驗證機制,不受此漏洞影響。
廠商已採取改進措施
聯想PSIRT(產品安全事件應變小組)表示:”如X230等較舊的EOL(生命週期結束)系統確實未包含韌體更新驗證。自2019年起,我們的影像處理器已加入攝像頭韌體的數位簽章檢查,並支援具寫入保護的安全封裝更新。”
防護建議
專家建議使用舊型號ThinkPad的用戶可考慮在不使用攝像頭時,使用實體遮蔽貼等方式保護隱私。此發現再次證實,在非必要時遮蓋筆電攝像頭的做法並非過度偏執。
