近日，網絡安全領域迎來了一次引人深思的演示，網絡安全專家Andrey Konovalov在POC 2024活動中，公開了一項名為Lights Out的概念驗證程序。該程序通過更新固件的方式，能夠在用戶毫不知情的情況下，關閉筆記本電腦上的LED指示燈，從而悄無聲息地進行攝錄像操作。

Konovalov不僅在POC 2024活動中進行了演示，還在Github上分享了Lights Out的源代碼。這一源代碼展示了如何在不直接物理接觸筆記本的情況下，通過軟件手段控制ThinkPad X230型號筆記本電腦上的網絡攝像頭LED燈狀態。這意味著，即便用戶認為攝像頭已關閉，實際上它仍可能在運作。

Konovalov選擇了聯想ThinkPad X230作為演示對象，但他同時指出，這一漏洞可能不僅限于ThinkPad X230。由于許多筆記本電腦制造商在設計時采用了類似的模式，即通過USB連接網絡攝像頭并允許重刷其固件，因此其他主流筆記本同樣可能面臨這一風險。這一發現無疑為網絡安全領域帶來了新的挑戰。

具體到該漏洞的細節，ThinkPad X230及其同期主流筆記本的攝像頭通常基于Ricoh R5U8710 USB攝像頭控制器。這一控制器的固件SROM部分存儲在攝像頭電路板的SPI閃存芯片上，且可通過USB接口進行重刷。這意味著攻擊者有可能通過軟件手段修改固件，進而控制攝像頭的行為，包括LED燈的開關狀態。

在ThinkPad X230的攝像頭電路板上，LED燈連接到R5U8710控制器的GPIO B1引腳。這一引腳映射到控制器內部基于8051的CPU的XDATA存儲空間中的0x80地址。因此，通過修改這一地址的值，攻擊者就可以改變LED燈的狀態，無論攝像頭是否正在傳輸視頻。這一機制使得攻擊者能夠在用戶毫無察覺的情況下進行攝錄像。

面對這一漏洞，Konovalov提出了一個簡單而有效的防御措施：物理遮擋。他指出，目前大多數筆記本電腦都配備了攝像頭蓋子，用戶可以在不使用攝像頭時將其蓋住。即使沒有專門的蓋子，用戶也可以采取類似扎克伯格的做法，使用膠帶等物品物理遮擋攝像頭，以防止被惡意利用。