Уебкамери на Lenovo се превърнаха в хакерски мултиинструменти – чрез тях можете дори тайно да хаквате компютри
Открита е накърнимост в уебкамерите на Lenovo, работещи под Linux, която разрешава на нападателите да конфигурират различен фърмуер и неусетно да трансфорат устройствата в злонамерени. Проблемът е разпознат от специалистите по киберсигурност в Eclypsium.
Уязвимостта е с идентификатор CVE-2025-4371 и условно название BadCam. Тя дава опция за офанзиви от вида BadUSB, разказани за първи път преди към 10 години, когато хакери изпращат заредени със злотворен програмен продукт USB устройства на американски организации. Стигна се до такава степен, че ФБР издаде предизвестие и предложи да не се свързват с компютри флашки, открити в офиси, на летища или пуснати в пощенски кутии.
В случая с BadCam нападателят може да конфигурира различен фърмуер на уязвима уебкамера Lenovo, работеща под Linux, и да я трансформира в злонамерено устройство.
В този случай камерата ще продължи да извършва главните си функционалности, без да буди съмнение у потребителя, само че ще придобие нови рискови благоприятни условия. Тя ще може да емулира спомагателни USB устройства, като да вземем за пример клавиатура, което дава опция на хакерите да вкарват команди, да прихващат ръководството на компютъра, да доставят злотворен код или да употребяват камерата като трамплин за по-дълбоко навлизане в системата.
Атаката против периферно устройство не оставя следи в компютъра, към който е обвързвано и не може да бъде открита с стандартни средства. Въпреки това, с цел да се получи далечен достъп до такава камера, тя би трябвало да бъде компрометирана авансово, по тази причина на потребителите се предлага да внимават да не свързват непознати уебкамери към компютрите си или да ги поръчват от съмнителни онлайн магазини.
Уязвимостите бяха открити в моделите Lenovo 510 FHD и Lenovo Performance FHD. Производителят пусна за тях актуализация на фърмуера версия 4.8.0, която обезврежда опасността.
