Lenovo heeft een kwetsbaarheid verholpen waardoor het mogelijk is voor aanvallers om malware op usb-webcams te installeren. Vervolgens zijn via de besmette apparaten allerlei andere aanvallen uit te voeren. Dat laten onderzoekers van securitybedrijf Eclypsium in een analyse weten. Gebruikers worden opgeroepen om de beschikbaar gestelde firmware-update te installeren.

Het probleem speelt met de Lenovo 510 FHD en Performance FHD, twee webcams die via usb met systemen zijn te verbinden. De webcams blijken firmware die gebruikers willen installeren niet te valideren. Een aanvaller met fysieke toegang tot de webcam, bijvoorbeeld via een gecompromitteerd systeem, kan zo malafide firmware uploaden. Deze firmware kan het apparaat in een human interface device (HID) veranderen. Daardoor lijkt het voor het systeem dat de webcam een toetsenbord is. Vervolgens kan een aanvaller via de webcam allerlei commando's op het systeem uitvoeren en zo data stelen of aanpassingen aan het systeem doorvoeren. Ook kan de webcam worden gebruikt om een opgeschoond systeem opnieuw te infecteren.

"Voor zover wij weten is het de eerste keer dat is aangetoond dat aanvallers een usb-apparaat dat al is aangesloten op een computer, en van oorsprong niet bedoeld was om kwaadaardig te zijn, als wapen kunnen gebruiken", aldus de onderzoekers. Naast het installeren van de malafide firmware vanaf een gecompromitteerd systeem zouden aanvallers doelwitten ook een alvast geprepareerde webcam kunnen sturen, merken de onderzoekers op. Ze voegen toe dat het probleem in de usb-specificatie ligt, die standaard geen bescherming tegen ongeautoriseerde firmware-aanpassingen biedt, waardoor aanvallers usb-apparaten in 'attack tools' kunnen veranderen. Lenovo stelt dat de webcams met firmware-versie 4.8.0 nu wel beschermd zijn.