Muchas personas tienden a poner una pestaña, celofán o pegatina en las webcams de sus portátiles, si es que estos no incluyen el consiguiente interruptor para taparlas (algo que ya se puede encontrar en muchos modelos nuevos).
"Colocar una pegatina en la lente de una webcam no es algo tan paranoico", ha señalado un investigador conocido con el sobrenombre de xairy en GitHub (y cuyo nombre real es Andrey Konovalov).
Xairy ha hallado una manera de actualizar el firmware de la cámara web de un portátil Lenovo ThinkPad X230 y controlar su LED de manera independiente si esta se encuentra activada. Un malware podría activar la cámara sin LED.
Aunque este equipo empresarial tiene ya más de una década de vida, el fallo habría generado cierta polémica en Hacker News.
El investigador opina que los LED de muchas webcams son controlables de manera similar usando una combinación de software y firmware.
Por su parte, el fabricante chino ha subrayado que los sistemas más antiguos, que se encuentran al final de su vida útil, como el X230, no incluyen validación para actualizaciones de firmware.
Lenovo indica, igualmente, que desde 2019 sus procesadores de imagen “han incluido comprobaciones de firma digital para el firmware de la cámara y hemos admitido actualizaciones seguras de cápsulas con protección contra escritura”.
Vigilancia sibilina
Desde Cybernews creen que la importancia de este tipo de ataque es que permite a los actores de amenazas espiar a sus víctimas sin ser detectados, instalando malware en los modelos de los portátiles afectados.
La firma también explica que ya se han llevado a cabo en numerosas ocasiones ataques similares que han burlado los indicadores LED de la cámara. No obstante, no todas las cámaras web integradas funcionarían de esta manera.