dersebastian schrieb:
[…] wenn man zB. Cheese deinstalliert, der Angreifer eigentlich gar keine Möglichkeit hat, einfach so an mir vorbei auf die Webcam zuzugreifen, weil es ja root-Rechte bräuchte, die überhaupt zu nutzen (Installation benötigter Software für die webcam).
Das trifft so nicht zu. Es reicht nicht aus, die Anwendungssoftware (also z.B. Cheese oder Firefox) zu entfernen, um einen Zugriff auf die Kamera sicher zu unterbinden. Ein geschickter Angreifer kann in Kooperation mit einem unvorsichtigen Benutzer Software auf das System bringen und mit den Rechten des Benutzers ausführen. Dafür benötigt man root nicht, wenn die Software nur ausgeführt und nicht installiert werden soll.
Wenn man sicher sein will, dass der Angreifer für den Zugriff auf die Hardware wenigstens root-Rechte benötigt, muss man eine Komponente entfernen oder sperren, die nur von root wieder aktiviert werden kann. Im Falle der Kamera kann man das benötigte Treiber-Modul aus dem Linux-Kernel entfernen bzw. dessen Laden unterbinden. Bei meinem Lenovo X220 erhalte ich z.B.
$ lsmod | grep video
uvcvideo 86016 0
videobuf2_vmalloc 16384 1 uvcvideo
videobuf2_memops 16384 1 videobuf2_vmalloc
videobuf2_v4l2 24576 1 uvcvideo
videobuf2_core 40960 2 uvcvideo,videobuf2_v4l2
videodev 184320 3 uvcvideo,videobuf2_core,videobuf2_v4l2
media 40960 2 uvcvideo,videodev
video 40960 2 thinkpad_acpi,i915
Entfernen des Basistreibers uvcvideo macht die Kamera funktionslos:
sudo modprobe -r uvcvideo
oder dieses Modul auf die Modul-Blacklist setzen. Dies ist ein Eingriff, den nur root wieder heilen kann.