Τα εικονοστοιχεία σε εικόνες μπορούν να χαράξουν τον υπολογιστή σας – #WTFWednesday


Τι είναι τόσο επικίνδυνο για την εξέταση ενός αρχείου εικόνας στο πρόγραμμα περιήγησης ιστού σας?

Στο παρελθόν, τίποτα. Μπορείτε να φορτώσετε την εικόνα. Εμφανίστηκε στην οθόνη σας. Το κλείσατε ή πήγατε σε διαφορετική σελίδα. Δεν υπήρχε τίποτα που το ίδιο το αρχείο εικόνας θα μπορούσε να κάνει για να σας βλάψει ή τον υπολογιστή σας.

Αλλά τώρα – χάρη στη νέα τεχνική hacking “Stegosploit” που παρουσιάστηκε στο συνέδριο hacking του Άμστερνταμ Hack In The Box – τα αρχεία εικόνων θα μπορούσαν να γίνουν πολύ πιο επικίνδυνα.

σύλληψη από slideshow stegosploitAwww, που λιώνει στην καρδιά! Ελέγξτε αυτό το αξιολάτρευτο στιγμιότυπο από τις διαφάνειες Steugosploit του Saumil Shah!

Ο χάκερ πίσω από το Stegosploit είναι ο Saumil Shah, ερευνητής ασφάλειας από την Ινδία.

“Μπορώ να τραβήξω μια εικόνα, να τη μεταφορτώσω κάπου και αν σας κατευθύνω απλά προς αυτή την εικόνα και φορτώσετε αυτήν την εικόνα σε ένα πρόγραμμα περιήγησης, θα εκραγεί”, δήλωσε ο Σάχ στη διάσκεψη τον Μάιο.

Ακούγεται σαν μια σοβαρή απειλή για την ασφάλεια στο διαδίκτυο. Και καθώς βελτιώνεται η τεχνολογία, θα μπορούσε να είναι ακριβώς αυτό.

Hack με βάση τις αρχαίες μεθόδους

Τι σημαίνει ο Shah όταν λέει ότι μπορεί να “εκραγεί” μια εικόνα στον browser σας; Τι ακριβώς θα μπορούσε να κάνει ο Stegosploit στον υπολογιστή σας?

Για να καταλάβουμε, πρέπει να εξετάσουμε προσεκτικά το Stegosploit και πώς λειτουργεί. Το όνομα Stegosploit προέρχεται από την “steganography”, η οποία είναι η αρχαία επιστήμη της απόκρυψης κωδικοποιημένων πληροφοριών μέσα σε άλλα δεδομένα που φαίνονται ασφαλή.

Μια εικόνα είναι το ιδανικό μέρος για να κρύψετε κακόβουλο κώδικα – επειδή όλοι στο Διαδίκτυο υποθέτουν ότι τα αρχεία εικόνων είναι ασφαλή να ανοίξουν.

saumil shah στιγμιότυπο οθόνηςΑκολουθεί ένα στιγμιότυπο οθόνης από το προφίλ του Saumil Shah στην ιστοσελίδα του HITBSecConf.

Ο Shah εξηγεί: “Το Stegosploit σάς επιτρέπει να παραδώσετε τα υπάρχοντα αξιοποιήσιμα προγράμματα περιήγησης χρησιμοποιώντας εικόνες. Το εκμεταλλευόμενο είναι κρυμμένο και δεν μπορείτε να σταματήσετε αυτό που δεν μπορείτε να δείτε. “

Η μέθοδος χρησιμοποιεί “απλές τεχνικές στεγανογραφίας” για την κωδικοποίηση του κώδικα εκμετάλλευσης στις τιμές RGB μέσα σε μια εικόνα. Μια τυπική μέθοδος HTML 5 που ονομάζεται Canvas, η οποία υποστηρίζεται από όλα τα μεγάλα προγράμματα περιήγησης, στη συνέχεια χρησιμοποιείται για τη διαχείριση του κακόβουλου αρχείου εικόνας ως κομμάτι JavaScript.

Τα κρυφά υποκείμενα που βασίζονται στο JavaScript μπορούν στη συνέχεια να εκτελούνται στο πρόγραμμα περιήγησής σας, ενδεχομένως να μεταφορτώνουν κακόβουλα προγράμματα ή να μεταδίδουν τα δεδομένα σας. Δεν θα γνωρίζατε τίποτα. Το μόνο που κάνατε ήταν να κοιτάξετε μια φωτογραφία!

Stegosploit επιθέσεις στο άγριο

Το Stegosploit αποτελεί απειλή για την ασφάλεια του διαδικτύου σας; Θα πρέπει να είστε πιο προσεκτικοί σχετικά με τις φωτογραφίες που βλέπετε, σε περίπτωση που το αρχείο κρύβει κακόβουλο JavaScript?

Προς το παρόν, δεν υπάρχει τίποτα να ανησυχείς.

Τα αρχεία του Stegosploit απαιτούν να ανοίγετε αρχεία εικόνων που λείπουν από τις επεκτάσεις αρχείων τους, δηλαδή το αρχείο πρέπει να ονομάζεται «εικόνα» αντί για «picture.jpg». Οι περισσότεροι αξιόπιστοι ιστότοποι, όπως το Facebook και το Dropbox, δεν επιτρέπουν στους χρήστες να ανεβάζουν αρχεία χωρίς επεκτάσεις.

Πολλοί ιστότοποι αναδιαμορφώνουν επίσης μεταφορτωμένα αρχεία εικόνας, τα οποία συνήθως αφαιρούν τον κώδικα Stegosploit από την εικόνα. Φτου!

Μόνο η αρχή

Όμως, ενώ η Stegosploit δεν αποτελεί σοβαρή απειλή στην τρέχουσα μορφή της, πιθανότατα αντιπροσωπεύει την έναρξη μιας νέας μορφής hacking με εικόνες.

«Αυτές οι τεχνικές έρχονται, αργά ή γρήγορα», λέει ο Shah. “Είμαι ο μόνος που μιλάει γι ‘αυτό στη σκηνή, αλλά είμαι σίγουρος ότι υπάρχουν άλλοι άνθρωποι που το έχουν καταλάβει.”

Θεωρείτε τον εαυτό σας προειδοποιημένο.

Αισθάνεστε μια συντριπτική ευθύνη να προειδοποιήσετε τους φίλους σας για το Stegosploit? Μοιραστείτε αυτήν την ιστορία μαζί τους!

Η #WTFWednesday του ExpressVPN σας φέρνει παράξενες, συγκλονιστικές και ανατριχιαστικές ιστορίες σχετικά με την ιδιωτικότητα των δεδομένων-τραβηγμένες κατευθείαν από τις ειδήσεις. Σκεφτείτε ότι η ιδιωτική σας ζωή είναι δική σας; Ξανασκέψου το. Θα νιώσετε άβολα. Θα είναι εξοργισμένοι. Θα σκεφτείτε, “WTF ;!”

Σαν αυτή τη θέση; Το μισώ? Διαβάστε περισσότερες ιστορίες τρόμου σχετικά με την εισβολή της ιδιωτικής ζωής σας στο #WTFWednesday αρχείο μας.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map