Pesquisadores da Eclypsium identificaram uma nova classe de ataques USB que afeta webcams com firmware baseado em Linux, transformando-as em dispositivos capazes de executar comandos maliciosos de forma furtiva. Batizada de “BadCam”, a ameaça representa uma evolução dos ataques BadUSB, conceito apresentado pela primeira vez em 2014, e expõe uma fragilidade estrutural na especificação USB: a ausência de validação obrigatória de assinatura de firmware.
A pesquisa revelou que modelos específicos da Lenovo, a 510 FHD Webcam e a Performance FHD Webcam, ambas baseadas no processador SigmaStar SSC9351D com suporte ao recurso USB Gadget, podem ser reprogramadas para se passarem por dispositivos de entrada confiáveis, como teclados, e injetar comandos no sistema hospedeiro. A ausência de mecanismos de verificação de firmware permite que atacantes, com acesso físico ou remoto ao computador, substituam o software interno da câmera por uma versão maliciosa.
O diferencial do BadCam está na possibilidade de exploração remota. Enquanto ataques BadUSB tradicionais dependem de que a vítima conecte um dispositivo previamente comprometido, o BadCam pode transformar webcams já conectadas em vetores de ataque persistentes, dispensando a necessidade de interação física. Mesmo após a formatação ou reinstalação do sistema operacional, o periférico infectado mantém a capacidade de reinfectar o computador.
Os cenários de ataque identificados incluem a entrega de webcams comprometidas por meio da cadeia de suprimentos ou acesso físico direto, além da injeção remota de firmware malicioso em webcams já instaladas. Em ambos os casos, a funcionalidade original da câmera permanece ativa, o que dificulta a detecção. Como o código malicioso opera no firmware do dispositivo e não no sistema operacional, soluções antivírus e ferramentas de monitoramento convencionais não conseguem identificá-lo.
Embora o estudo tenha focado em dois modelos específicos da Lenovo, as implicações se estendem a qualquer dispositivo USB baseado em Linux com suporte ao subsistema USB Gadget. Isso inclui não apenas câmeras, mas também outros periféricos e dispositivos IoT que careçam de proteção adequada contra alterações não autorizadas de firmware.
A Eclypsium demonstrou que o processo de substituição de firmware pode ser realizado com comandos simples para apagar e regravar a memória do dispositivo, conferindo ao atacante controle total sobre a webcam. A empresa notificou a Lenovo em março de 2025 e, após investigação, a fabricante lançou uma atualização de firmware no dia 8 de agosto de 2025, corrigindo a vulnerabilidade por meio de mecanismos de validação de assinatura.
A descoberta do BadCam evidencia a necessidade urgente de revisar políticas de confiança em dispositivos USB, implementar verificações rigorosas de firmware e reforçar medidas de segurança contra ataques que operam abaixo do nível do sistema operacional. A transformação de webcams em vetores ativos de ameaça demonstra que periféricos antes considerados inofensivos podem se tornar elementos centrais em campanhas de intrusão persistente e difícil detecção.
