W świecie bezpieczeństwa IT coraz więcej urządzeń peryferyjnych działa na wbudowanych systemach Linux – zwiększa to ich funkcjonalność, ale też stwarza nowe zagrożenia. Badania z ostatnich dni ujawniają, że nawet kamery internetowe, które zwykle wydają się nieszkodliwe, mogą zostać przekształcone w agresywne narzędzia ataku. Firma Eclypsium pokazała , że niektóre modele kamer USB można zainfekować złośliwym firmwarem, który pozwala im symulować klawiaturę i niezauważalnie wstrzykiwać komendy. To kolejny krok w ewolucji ataków BadUSB (pisaliśmy o tym sporo tutaj). Tym razem atak nie wymaga jednak fizycznego podłączenia złośliwej pamięci – działająca kamera sama może stać się zagrożeniem.
Nowy wektor – linuksowe kamerki Lenovo jako urządzenia BadUSB
Eclypsium ujawniło, że dwa modele kamer – Lenovo 510 FHD oraz Lenovo Performance FHD – mogą zostać przemienione w urządzenia typu BadUSB. Kamery te działają na Linuksie, nie weryfikują podpisu firmware’u i mogą być użyte zarówno fizycznie, jak i zdalnie do wstrzykiwania sekwencji klawiszy, niezależnie od systemu operacyjnego.
Prezentacja tych odkryć miała miejsce na konferencji DEF CON 2025.
Jak twierdzą badacze:
„…wada tkwi w samej specyfikacji USB, która nie zapewnia solidnych zabezpieczeń przed nieautoryzowaną modyfikacją oprogramowania układowego. W rezultacie atakujący byli w stanie przekształcić urządzenia USB w ukryte narzędzie ataku, zdolne do omijania tradycyjnych zabezpieczeń punktów końcowych, uruchamiania złośliwego oprogramowania, wykradania danych i podnoszenia uprawnień w systemie hosta”.
Warto wspomnieć, że na przestrzeni lat ataki BadUSB ewoluowały i były wykorzystywane w rzeczywistych kampaniach. Grupy przestępcze (i testerzy penetracyjni) umieszczały złośliwe klucze USB w miejscach publicznych lub wysyłały je pocztą w fałszywych pakietach, nakłaniając ofiary do podłączenia ich do komputerów firmowych. Po podłączeniu urządzenia BadUSB często emulują klawiatury i szybko wykonują naciśnięcia klawiszy w celu otwarcia terminali, wykonania poleceń i zainstalowania złośliwego oprogramowania, co czasami prowadzi do ataków ransomware na sieci korporacyjne.
Szczegóły techniczne ataku
| Element | Szczegóły |
| Modele kamer | Lenovo 510 FHD (GXC1D66063) i Performance FHD (4XC1D66055) wraz z ich identyfikatorami FRU The Cyber Express |
| SoC (System on chip) i architektura | SigmaStar SSC9351D – dual-core ARM Cortex-A7 z wbudowanym Linuksem i obsługą USB Gadget |
| Główna luka | Brak weryfikacji sygnatury firmware’u – można reflaszyć pamięć SPI (8 MB), nadpisując firmware ze zdalnego hosta |
| Techniczny przebieg ataku | Przykład komend reflaszujących: sf erase …, tftp …, sf write …– szybko całkowicie kompromitują kamerę  |
| Scenariusze ataku | fizyczne przekazanie zainfekowanej kamerki zdalne reflaszowanie przez dostęp do hosta |
| Trwałość ataku | Skoro atak się odbywa na poziomie firmware’u, kamera może ponownie infekować system nawet po reinstalacji systemu operacyjnego |
Potencjalny zasięg i konsekwencje
Chociaż badania dotyczyły konkretnych modeli Lenovo, zagrożenie wykracza szeroko poza nie. Wszelkie urządzenia USB działające na Linuksie i bez ochrony podpisem firmware’u mogą być podatne, w tym kamery, kontrolery IoT czy inne peryferia. Dodatkowo zyskanie kontroli nad takim urządzeniem pozwala hakerowi uruchamiać dalsze ataki, np. przez emulację USB adaptera sieciowego lub klawiatury. Takie przypadki są trudne do wykrycia i bardzo trwałe.
Wnioski i rekomendacje
- Weryfikacja firmware’u – producenci muszą zastosować podpisy cyfrowe i sprawdzanie autentyczności podczas aktualizacji.
- Aktualizacja oprogramowania – Lenovo wydało firmware v4.8.0, który rozwiązuje problem BadCam (CVE-2025-4371).
- Monitoring urządzeń USB – wykrywanie nietypowych interfejsów HID lub zmian w firmwarze.
Przegląd polityk bezpieczeństwa USB – obejmujących nie tylko hosty, ale także peryferia – szczególnie te oparte na Linuksie.