Yeni bir USB tabanlı saldırı sınıfı ortaya çıktı. Bu saldırılar sadece çıkarılabilir cihazları hedeflemekle kalmıyor, aynı zamanda sistemlere zaten bağlı olan mevcut, güvenilir çevre birimleri: Linux web kameraları. Saldırganlar artık gömülü Linux’u çalıştıran yaygın olarak kullanılan USB web kameralarındaki güvenlik açıklarından yararlanabilir ve bunları tuş vuruşlarını enjekte edebilen ve konakçı işletim sisteminden bağımsız olarak gizli işlemler yürütebilen Badusb cihazlarına dönüştürebilir.
Şimdi “badcam” olarak adlandırılan bu tehdit, ilk olarak Karsten Nohl ve Jakob Lell tarafından Black Hat 2014’te tanıtılan orijinal Badusb saldırıları kavramını geliştiriyor. Sayısı özünde, firmware imza doğrulamasının zorunlu olarak uygulanmasından yoksun olan USB spesifikasyonunda temel bir kusur yatıyor. Bu gözetim, flash sürücüler, klavyeler ve şimdi web kameraları gibi USB cihazlarının güvenilir insan arayüz cihazlarını (HIDS) taklit etmek için yeniden programlanmasına ve bir ana bilgisayara takıldıktan sonra komutları sessizce yürütmesine izin verir.
Badcam’i ayıran şey, sömürü yöntemidir. Kötü niyetli USB çubukları yerleştiren şüphesiz kullanıcılara dayanan geleneksel Badusb saldırılarının aksine, Badcam, saldırganların bir sisteme zaten bağlı olan Linux destekli web kameralarını uzaktan ele geçirmelerini sağlar ve onları fiziksel erişim gerekmeden gizli ve kalıcı saldırı vektörlerini yapar.
Bu badcam tehdidi, siber güvenlik araştırmacıları Jesse Michael ve Eclypsium’dan Mickey Shkatov tarafından ortaya çıktı.
Badcam Hedefleri: Linux ürün yazılımı ile Lenovo Webcams
Araştırma iki özel modele odaklandı:
- Lenovo 510 FHD Web Kamerası (GXC1D66063, FRU: 5C21E09202)
- Lenovo Performans FHD Webcam (4xc1d66055, Fru: 5C21D66059)
Her iki kamera da Sigmastar SSC9351D SOCS, çift çekirdekli ARM Cortex-A7 işlemcileri, USB gadget desteği ile gömülü Linux’u çalıştırıyor. Bu donanım yapılandırması, bu web kameralarının klavyeler veya ağ adaptörleri gibi diğer USB çevre birimleri olarak maskelenmesini sağlar.
Eclypsium, bu cihazlardaki ürün yazılımının imza doğrulaması olmadığını keşfetti. Sonuç olarak, bir sisteme uzaktan erişim sağlayan saldırganlar, kötü amaçlı kod yüklemek için web kamerasının ürün yazılımını yenileyebilir. Meydan okuduktan sonra, web kamerası klavye girişini simüle edebilir (yani lastik bir ördek veya bash tavşanı taklit edebilir) ve gizli saldırılar başlatabilir.
Saldırı Vektörleri: Fiziksel ve Uzak
İki temel saldırı senaryosu özetlendi:
- Tedarik zinciri veya fiziksel erişim: Bir saldırgan tehlikeye atılmış bir web kamerası verebilir (veya bir makineye fiziksel olarak erişebilir) ve silahlandırılmış cihazı takabilir.
- Uzaktan ürün yazılımı enjeksiyonu: Daha eleştirel olarak, bir bilgisayara uzaktan erişimi olan bir saldırgan, ekli bir Linux web kamerasını tanımlayabilir ve kötü amaçlı bir ürün yazılımı güncellemesini kullanıcı etkileşimi olmadan bir Badusb saldırı platformuna dönüştürebilir.
Her iki durumda da, silahlandırılmış web kamerası kamera işlevselliğini korur ve algılamayı son derece zorlaştırır. Dahası, kötü amaçlı yazılım Periferik’in ürün yazılımında değil, ana işletim sisteminde bulunduğundan, bilgisayarı yeniden biçimlendirmek bile tehdidi kaldırmaz. Enfekte kamera, ana bilgisayara tekrar tekrar enfekte edebilir.
USB güvenliği için etkileri
Bu araştırma iki Lenovo web kamerasını vurgularken, sonuçlar bunların çok ötesine uzanıyor. Kameralardan IoT cihazlarına kadar Linux’u çalıştıran birçok USB çevre birimi uygun ürün yazılımı doğrulamasından yoksun olabilir.
Linux USB Gadget alt sistemini destekleyen herhangi bir cihaz teorik olarak benzer şekillerde kullanılabilir. Eclypsium uyardığı gibi, bu sadece web kameraları değil, şimdi Badusb saldırıları için geçerli hedefleri temsil eden büyüyen bir gömülü USB cihaz sınıfı.
Linux USB Gadget Framework, cihazların kendilerini herhangi bir USB sınıfı (kütle depolama, HID, seri vb.) Olarak sunmalarını sağlar. Bu özellik, yetersiz ürün yazılımı ile birlikte Koruma, gizli, kalıcı ve modüler badusb cihazları yaratmayı amaçlayan saldırganlar için güçlü bir kokteyl oluşturur.
Kavram kanıtı
Araştırmacılar, kötü amaçlı bir ürün yazılımı güncellemesinin USB üzerinden basit komutlar kullanılarak nasıl teslim edilebileceğini gösterdiler. SPI flaşını incelemek, belleği silmek ve yeni bir ikili yazmak gibi kısa bir dizi, orijinal ürün yazılımının yerini tamamen değiştirir. Özel yapıyı belirttiler:
objectivec
Kopya
FW Sürüm: CMK-HD510-OT1917-FW-4.6.2
Linux 4.9.84 ARMV7L GNU/Linux
Bu güncelleme işlemi esas olarak kamera üzerinde tam kontrol sağlar ve gizli bir saldırgan aracına dönüştürür.
Gerçek dünya riskleri ve kalıcı tehditler
Bu saldırıyı birbirinden ayıran şey, sunduğu kalıcılık seviyesidir. Meydan okuduktan sonra, web kamerası kalıcı bir arka kapı haline gelir. Geri ihlal edilen web kamerası geri takılıp takılırsa, silinmiş ve yeniden inşa edilmiş bir ana bilgisayar sistemi bile savunmasız kalır.
Bu saldırıların gizli doğası, geleneksel uç nokta algılama araçlarının etkisiz olduğu anlamına gelir. Kötü niyetli mantık ürün yazılımı düzeyinde çalıştığından, antivirüs yazılımı veya işletim sistemi düzeyindeki izleme araçları için görünmezdir.
Zaman çizelgesi ve satıcı yanıtı
Güvenlik açığı, Mart 2025’ten itibaren eclypsium tarafından Lenovo’ya sorumlu bir şekilde açıklandı. Bir dizi iletişim ve düzeltme izledi:
- 29 Temmuz 2025: Lenovo bir ürün yazılımı düzeltmesini onaylar ve danışmanlık yayınını planlar.
- 8 Ağustos 2025: Bulgular sunulan ve Lenovo ürün yazılımı güncelleme araçlarını yayınlar.
Lenovo, etkilenen web kamerası modellerindeki imza doğrulama sorunlarını ele alan güncellenmiş ürün yazılımı araçları yayınladı. Kullanıcılar, ürün yazılımının 4.8.0 sürümünü indirmek için Lenovo’nun destek sitesini ziyaret edebilir.
Çözüm
Linux web kameralarının silahlandırılması USB saldırı yüzeylerinde derin bir değişimi temsil eder. Bir zamanlar pasif giriş çevre birimleri olarak düşünülen bu cihazlar, artık uzak ürün yazılımı uzlaşmasıyla aktif saldırı bileşenlerine dönüştürülebileceği kanıtlanmıştır. Kuruluşlar acilen daha katı cihaz doğrulamasını benimsemeli, ürün yazılımı imzası doğrulamasını uygulamalı ve USB çevre birimleri, özellikle de Linux tarafından desteklenenler etrafında güven varsayımlarını yeniden düşünmelidir.