Linux Webcams Weaponized to Inject Keystrokes and Execute Attacks

安全研究人员发现了一个令人担忧的漏洞，该漏洞可将日常USB摄像头转变为隐蔽攻击工具，能够在连接的计算机上注入恶意击键并执行未授权命令。

这一突破性发现代表了首例记录在案的武器化USB设备案例，这些设备原本并非设计用于恶意目的，但已连接到系统。

Eclypsium的研究人员Jesse Michael和Mickey Shkatov在DEF CON 2025上展示了他们的发现，演示了运行Linux的特定联想摄像头型号如何被远程入侵并转换为BadUSB攻击设备。

该漏洞影响由SigmaStar制造的联想510 FHD和联想Performance FHD摄像头，这些摄像头使用基于ARM的片上系统处理器，运行完整的Linux操作系统。

BadUSB威胁态势

BadUSB攻击通过重新编程设备固件来伪装成人类接口设备（HID），利用计算机与USB外设之间的基本信任关系。

这些攻击首次在Black Hat 2014上演示，现已显著发展，硬件平台如Hak5 Rubber Ducky和Flipper Zero能够实现复杂的基于USB的利用，通常绕过传统防病毒软件。

与需要物理设备替换的传统BadUSB攻击不同，攻击者现在可以远程劫持已连接到目标系统的Linux驱动摄像头，将它们转变为持久攻击向量，同时保持其原始摄像头功能。

核心漏洞源于受影响摄像头中缺失的固件签名验证。这些设备使用SigmaStar的SSC9351D ARM Cortex-A7双核处理器，带有嵌入式DDR3内存，运行支持USB Gadget的Linux。

此Linux USB gadget功能允许设备向主机计算机呈现为各种USB外设，包括键盘或网络适配器。

攻击者可以通过USB发送特定命令来擦除和重写摄像头的板载SPI闪存，实现完全设备入侵。

研究显示，固件更新涉及直接写入新固件而不进行验证的简单命令序列，从而允许恶意代码注入。

存在两种主要攻击路径：物理安装预先受损的摄像头，或通过系统入侵远程感染现有设备。

一旦被武器化，这些摄像头即使在完全重新安装操作系统后也能重新感染主机计算机，提供前所未有的持久性能力。

该漏洞的范围可能超出测试的联想型号，因为其他制造商生产基于Linux的USB外设，具有类似的硬件平台和可能相同的安全缺陷。

联想已与SigmaStar合作解决该漏洞，发布了具有适当签名验证的更新固件安装工具。

受影响摄像头的用户应访问联想的支持网站获取安全更新以缓解这些漏洞。公司已通过官方支持渠道为两种受影响型号提供固件版本4.8.0。

这一发现突显了现代计算环境中不断扩大的攻击面，其中受信任的外设可能成为复杂的攻击向量，需要警惕的安全实践和定期固件更新。