Pesquisadores da Eclypsium revelaram uma vulnerabilidade grave em modelos específicos de webcams Lenovo, que pode transformá-las, remotamente, em dispositivos de ataque BadUSB — uma técnica capaz de injetar comandos maliciosos diretamente no computador da vítima.
O problema, identificado como CVE-2025-4371 e apelidado de BadCam, foi apresentado durante a conferência de segurança DEF CON 33 e marca um feito inédito: hackers conseguindo transformar um periférico USB baseado em Linux, já conectado ao computador, em uma ferramenta de ataque — sem precisar de acesso físico ao dispositivo.
O que é um ataque BadUSB?
O BadUSB foi apresentado pela primeira vez em 2014, na conferência Black Hat. Ele explora falhas no firmware (o software interno) de dispositivos USB para reprogramá-los e fazê-los se passar por outros periféricos, como teclados.
Ao agir dessa forma, um dispositivo comprometido pode:
- Digitar comandos maliciosos de forma invisível ao usuário;
- Instalar backdoors;
- Redirecionar o tráfego de internet;
- Roubar informações sensíveis.
Diferente de malwares comuns, que ficam armazenados no sistema de arquivos e podem ser detectados por antivírus, o BadUSB atua em um nível mais profundo, dificultando sua identificação e remoção.
O que a Eclypsium descobriu
Os pesquisadores Paul Asadoorian, Mickey Shkatov e Jesse Michael mostraram que webcams aparentemente inofensivas, como a Lenovo 510 FHD e a Lenovo Performance FHD, podem ser reprogramadas remotamente para agir como dispositivos maliciosos.
Pior: esse comprometimento não exige que a câmera seja desconectada, substituída ou modificada fisicamente. Uma vez infectada, a câmera:
- Injeta comandos no sistema;
- Entrega cargas maliciosas (payloads);
- Pode manter persistência mesmo após formatação e reinstalação do sistema operacional.
Isso é possível porque as câmeras não validam a autenticidade do firmware, permitindo que um invasor grave um software malicioso diretamente no dispositivo.
Risco para empresas e usuários domésticos
A ameaça vai além do cenário corporativo. Hoje, computadores e notebooks — tanto de empresas quanto de usuários comuns — confiam plenamente em periféricos como webcams, headsets e microfones. Porém, muitos desses dispositivos têm sistemas próprios e podem aceitar comandos remotos.
O caso BadCam mostra que um simples acessório de videoconferência pode se tornar um ponto de entrada para invasões, espionagem e roubo de dados.
Resposta da Lenovo
A Lenovo foi notificada pela Eclypsium em abril de 2025 e respondeu rapidamente. A empresa lançou atualizações de firmware (versão 4.8.0) e, em parceria com a SigmaStar, desenvolveu uma ferramenta para corrigir a vulnerabilidade.
Usuários das câmeras afetadas devem atualizar imediatamente o firmware para reduzir o risco de exploração.
🔒 Resumo da proteção:
- Atualize o firmware da sua webcam para a versão mais recente.
- Mantenha sistemas e periféricos sempre atualizados.
- Desconfie de dispositivos USB, mesmo que pareçam legítimos.
