BadCam: Lenovo-webcams kan omdannes til BadUSB-enheder

Eskil Sørensen

08.13.2025 11:09

Researchere har brugt en af de mest hypede hackerbegivenheder til afsløring af sårbarheder - DEFCON 33 i Las Vegas - til at breake en spektakulær sårbarhed.

Researchere fra Eclypsium har identificeret alvorlige sårbarheder i Lenovo 510 FHD og Performance FHD webcams, som gør det muligt at omprogrammere enheden til at fungere som en såkaldt BadUSB-enhed.

Det skriver Security Affairs.

Sårbarhederne blev præsenteret på DEF CON 33, som er et klassisk sted for researchere at vise deres fund, særligt særegne sårbarheder. I dette tilfælde skulle det efter sigende være første gang, at det er demonstreret, at en allerede tilsluttet USB-enhed kan fjernkompromitteres og omdannes til et angrebsvåben.

Simple USB-kommandoer

De berørte webcams benytter SigmaStar ARM-baserede SoC’er med Linux og USB Gadget-support. Firmwarevalidering mangler, og opdateringsprocessen er usikret, hvilket gør det muligt at overskrive enhedens SPI-flash via simple USB-kommandoer, fremgår det af omtalen. Resultatet er, at et tilsyneladende normalt webcam kan injicere tastetryk, levere malware og opretholde vedvarende adgang – alt sammen uden at miste sin oprindelige funktionalitet.

BadUSB – en kendt trussel i ny form

Konceptet BadUSB blev oprindeligt præsenteret i 2014. Det udnytter tilliden til USB-enheder ved at omprogrammere firmware til at simulere Human Interface Devices, som fx et tastatur eller en mus. Dette gør det muligt for enheden at sende tastetryk eller kommandoer til værtscomputeren, uden at brugeren opdager det.

Det muliggør OS-uafhængige angreb, som kan omgå traditionelle sikkerhedsforanstaltninger. Med værktøjer som Rubber Ducky og Flipper Zero er BadUSB blevet en praktisk og vedvarende trussel – nu også via fjernadgang.

En kompromitteret webcam kan således:

Injicere tastetryk og udføre kommandoer
Installere malware og opretholde tilstedeværelsen af malwaren
Emulere andre USB-enheder og udvide angrebsfladen
Overleve OS-geninstallationer

Dette gør BadCam til en potent trussel mod både privatpersoner og organisationer, især i miljøer med høj tillid til enheder uden for den normale sikkerhedssfære. Eller manglende opmærksomhed på truslen, for hvor tit tænker man egentlig på sit webcam som en trussel, bortset fra fx. i en privacyhenseende?

Lenovo har udgivet et opdateret installationsværktøj med signaturvalidering, som adresserer sårbarheden. Brugere af de berørte modeller bør straks hente opdateringen via Lenovos supportside, fremgår det.

Eclypsium har også benyttet sig af lejligheden til at formulere anbefalinger. De lyder som følger:

Der bør være

firmware-signering og validering som standard i USB-enheder
device attestation og bedre synlighed af tilsluttede enheder
revurdering af endpoint-trustmodeller, især i enterprise-miljøer

Alt dette kræver jo som bekendt, at man har et overblik over USB-enhederne, man løbende opdaterer firmware, har politikker for USB-brug osv.

Læs mere

https://securityaffairs.com/181005/hacking/badcam-linux-based-lenovo-webcam-bugs-enable-badusb-attacks.html

Information