Vaizdo taškai gali nulaužti jūsų kompiuterį – #WTFWednesday

Vaizdo taškai gali nulaužti jūsų kompiuterį - #WTFWednesday

Kas pavojinga žiūrint į paveikslėlio failą žiniatinklio naršyklėje?

Anksčiau nieko. Jūs įdėjote vaizdą. Jis rodomas jūsų ekrane. Jūs jį uždarėte arba nuėjote į kitą puslapį. Nebuvo nieko, ką pats paveikslėlio failas galėtų padaryti, kad pakenktų jums ar jūsų kompiuteriui.

Bet dabar - dėl naujos „Stegosploit“ įsilaužimo technikos, pristatytos Amsterdamo įsilaužimo konferencijoje „Hack In The Box“ - vaizdų failai gali tapti žymiai pavojingesni..

fiksavimas iš stegosploito skaidrių demonstracijosAwww, širdis tirpsta! Peržiūrėkite šį žavingą ekrano paveikslėlį iš Saumil Shah „Stegosploit“ skaidrių!

Už Stegosploito įsilaužėlis yra Saumilis Shahas, saugumo tyrėjas iš Indijos.

„Aš galiu nufotografuoti vaizdą, įkelti jį kur nors ir, jei aš tik nukreipiu tave į tą atvaizdą, o jūs įkeliate šį atvaizdą naršyklėje, jis susisprogdins“, - sakė Shahas gegužės mėn. Konferencijoje..

Tai skamba kaip rimta grėsmė jūsų internetiniam saugumui. Tobulėjant technologijai, ji gali būti būtent tokia.

Hack Remiantis senovės metodais

Taigi, ką reiškia Shahas, kai sako, kad gali „detonuoti“ vaizdą jūsų naršyklėje? Ką tiksliai „Stegosploit“ galėtų padaryti jūsų kompiuteris?

Norėdami suprasti, turime atidžiau pažvelgti į Stegosploitą ir kaip jis veikia. Pavadinimas Stegosploit kilęs iš „steganografijos“, tai yra senovės mokslas, slepiantis užkoduotą informaciją kituose duomenyse, kurie atrodo saugūs.

Vaizdas yra puiki vieta paslėpti kenkėjišką kodą - nes visi internete mano, kad paveikslėlių failus atidaryti yra saugu.

saumil shah ekrano kopijaČia yra Saumilo Shaho profilio ekrano kopija HITBSecConf svetainėje.

Shahas paaiškina: „„ Stegosploit “leidžia pateikti esamus naršyklės išnaudojimus naudojant paveikslėlius. Išnaudojimas yra paslėptas akivaizdoje ir jūs negalite sustabdyti to, ko nematote “.

Metodas naudojamas „paprastiems steganografijos metodams“ panaudoti kodui koduoti į RGB reikšmes paveikslėlyje. Tada kenksmingo paveikslėlio failą tvarkyti kaip „JavaScript“ dalį naudojamas standartinis HTML 5 metodas, vadinamas drobė, kurį palaiko visos pagrindinės naršyklės..

Paslėpti „JavaScript“ pagrindu vykdomi išnaudojimai gali būti vykdomi jūsų naršyklėje, galimai atsisiunčiant kenkėjiškas programas arba perduodant jūsų duomenis. Tu nieko nežinotum. Viskas, ką padarėte, buvo tik vaizdas!

Stegosploito atakos laukinėje gamtoje

Ar „Stegosploit“ šiuo metu kelia grėsmę jūsų saugumui internete? Ar reikėtų atidžiau žiūrėti į kurias nuotraukas, jei failas slepia kenksmingą „JavaScript“?

Kol kas jaudintis nėra per daug.

Stegosploit hacks reikalauja atidaryti paveikslėlių failus, kuriems trūksta failų plėtinių, ty failas turi būti pavadintas „picture“, o ne „picture.jpg“. Patikimiausios svetainės, tokios kaip „Facebook“ ir „Dropbox“, neleidžia vartotojams įkelti failų be plėtiniai.

Daugelis svetainių taip pat pakartotinai apdoroja įkeltus vaizdo failus, kurie paprastai pašalins „Stegosploit“ kodą iš paveikslėlio. Phew!

Tiesiog pradžia

Tačiau nors „Stegosploit“ dabartine forma nėra didelė grėsmė, greičiausiai tai reiškia naujos piratavimo su nuotraukomis formos pradžią.

„Anksčiau ar vėliau šios technologijos bus naudojamos“, - sako Shahas. „Aš vienintelis apie tai kalbu scenoje, bet esu tikras, kad yra ir kitų žmonių, kurie tai išsiaiškino“.

Laikykite save įspėtu.

Ar jaučiate didžiulę atsakomybę įspėti draugus apie „Stegosploit“? Pasidalykite šia istorija su jais!

„ExpressVPN“ #WTFWesnesday pristato jums keistas, šokiruojančias ir įkyrias istorijas apie duomenų privatumą - traukiamas tiesiai iš naujienų. Manote, kad jūsų privatumas yra jūsų? Pagalvok dar kartą. Jūs jausitės nepatogiai. Būsite pasipiktinę. Jūs pagalvosite: „WTF ?!“

Patinka šis įrašas? Negaliu pakęsti? Perskaitykite daugiau siaubo istorijų apie jūsų privatumo pažeidimus mūsų #WTFWednesday archyve.

Vaizdo taškai gali nulaužti jūsų kompiuterį - #WTFWednesday
admin Author
Sorry! The Author has not filled his profile.