حمله BadCam — تبدیل وبکم‌های لینوکسی به سلاح USB مخفی

محققان امنیتی شرکت Eclypsium یک کلاس جدید از حملات USB را با نام BadCam معرفی کرده‌اند که وبکم‌های لینوکسی متصل به سیستم را به ابزارهای BadUSB تبدیل می‌کند؛ بدون نیاز به دسترسی فیزیکی کاربر. این حمله به مهاجم اجازه می‌دهد تا از طریق آسیب‌پذیری در وبکم‌های لینوکسی رایج، میان‌افزار (Firmware) آن‌ها را دستکاری کرده و به دستگاهی شبیه به کیبورد مخفی یا سایر رابط‌های USB تبدیل کند که می‌تواند فرمان‌ها را به سیستم قربانی تزریق کند.

پیشینه حمله

ایده BadCam بر پایه حمله BadUSB است که اولین بار در سال ۲۰۱۴ توسط Karsten Nohl و Jakob Lell معرفی شد. مشکل اصلی، ضعف در استاندارد USB است که امضای دیجیتال Firmware را به‌صورت اجباری بررسی نمی‌کند. این ضعف اجازه می‌دهد هر دستگاه USB — از فلش گرفته تا وبکم — مجدداً برنامه‌ریزی شده و خود را به عنوان یک Human Interface Device (HID) معتبر جا بزند.

تفاوت BadCam این است که به جای نیاز به وارد کردن فلش آلوده توسط کاربر، مهاجم می‌تواند وبکم لینوکسی متصل به سیستم را از راه دور آلوده کند، بدون آنکه نیاز به تماس فیزیکی باشد.

---

اهداف حمله BadCam

محققان بر دو مدل خاص از وبکم‌های لنوو تمرکز کرده‌اند:

• Lenovo 510 FHD Webcam (GXC1D66063, FRU: 5C21E09202)

• Lenovo Performance FHD Webcam (4XC1D66055, FRU: 5C21D66059)

هر دو مدل بر پایه SigmaStar SSC9351D SoC (پردازنده دو هسته‌ای ARM Cortex-A7 با لینوکس توکار و USB Gadget) ساخته شده‌اند که می‌تواند به‌عنوان دستگاه‌های USB دیگر (مثل کیبورد یا آداپتور شبکه) شبیه‌سازی شود.

---

سناریوهای حمله

1. زنجیره تأمین یا دسترسی فیزیکی: تحویل وبکم آلوده یا اتصال آن به سیستم هدف.

2. تزریق Firmware از راه دور: مهاجم با دسترسی از راه دور به سیستم قربانی، وبکم لینوکسی متصل را شناسایی و Firmware مخرب را روی آن فلش می‌کند.

در هر دو حالت، وبکم همچنان به کارکرد عادی خود ادامه می‌دهد و همین امر شناسایی را دشوار می‌کند. بدافزار در Firmware دستگاه ذخیره می‌شود، بنابراین حتی با فرمت کامل سیستم، تهدید باقی می‌ماند و با اتصال مجدد وبکم، دوباره سیستم را آلوده می‌کند.

---

ریسک‌ها و دامنه تهدید

• این مشکل محدود به دو مدل لنوو نیست؛ هر دستگاه USB لینوکسی که از Linux USB Gadget Subsystem پشتیبانی کند، در معرض خطر است.

• با عدم اعتبارسنجی Firmware، مهاجم می‌تواند دستگاه را به یک پلتفرم BadUSB پایدار تبدیل کند که شناسایی توسط آنتی‌ویروس و EDR را دور می‌زند.

• سیستم قربانی حتی پس از نصب مجدد ویندوز یا لینوکس، دوباره آلوده می‌شود اگر وبکم آلوده به آن وصل شود.

---

PoC و مشخصات فنی

• سیستم‌عامل وبکم: Linux 4.9.84 armv7l GNU/Linux

• نسخه Firmware آسیب‌پذیر: CMK-HD510-OT1917-FW-4.6.2

• فرآیند آلودگی: دسترسی به SPI Flash، پاک‌سازی حافظه، و بارگذاری باینری مخرب

---

جدول زمان‌بندی و واکنش لنوو

• مارس ۲۰۲۵: افشای مسئولانه به لنوو

• ۲۹ جولای ۲۰۲۵: تأیید نقص و برنامه‌ریزی انتشار وصله

• ۸ آگوست ۲۰۲۵: ارائه عمومی یافته‌ها + انتشار ابزار به‌روزرسانی Firmware

• لنوو نسخه ۴.۸.۰ Firmware را برای رفع مشکل منتشر کرده است.

---

راهکارها

• به‌روزرسانی Firmware وبکم به نسخه ایمن منتشرشده توسط لنوو

• اعمال سیاست‌های سختگیرانه در پذیرش دستگاه‌های USB در سازمان

• استفاده از راهکارهای USB Device Control برای محدود کردن عملکرد HID

• بررسی امنیتی تجهیزات USB لینوکسی موجود در شبکه