פיקסלים בתמונות יכולים לפרוץ את המחשב שלך – #WTF יום הולדת

פיקסלים בתמונות יכולים לפרוץ את המחשב שלך - #WTF יום הולדת

מה כל כך מסוכן להסתכל על קובץ תמונה בדפדפן האינטרנט שלך?

בעבר, שום דבר. העמסת את התמונה. זה מוצג על המסך שלך. סגרת אותו, או הלכת לדף אחר. שום דבר שקובץ התמונה עצמו לא יכול היה לפגוע בך או במחשב שלך.

אבל עכשיו - בזכות טכניקת הפריצה החדשה "סטגוספליט" שהוצגה בכנס האקינג באמסטרדם Hack In The Box - ניתן להגדיר קבצי תמונות להפוך למסוכנים הרבה יותר..

ללכוד ממצגת השקופיות של סטגוספליטלאהוב, נמס לב! בדוק את המסך המקסים הזה ממגלשות הסטגוספואיט של Saumil Shah!

ההאקר שמאחורי סטגוספליט הוא סאומיל שאה, חוקר ביטחון מהודו.

"אני יכול לצלם תמונה, להעלות אותה איפשהו. אם רק אצביע אותך לעבר אותה תמונה ותטען את התמונה בדפדפן, זה יתפוצץ", אמר שאה לכנס במאי..

זה נשמע כמו איום רציני על האבטחה המקוונת שלך. וככל שהטכנולוגיה משתפרת, זה יכול להיות בדיוק זה.

פריצה המבוססת על שיטות עתיקות

אז מה הפירוש של שאה כשהוא אומר שהוא יכול "לפוצץ" תמונה בדפדפן שלך? מה בדיוק יכול ה- Stegosploit לעשות במחשב שלך?

כדי להבין עלינו לבחון מקרוב את סטגוספליט ואיך זה עובד. השם Stegosploit מקורו ב"סטגנוגרפיה ", שהוא המדע העתיק של הסתרת מידע מקודד בתוך נתונים אחרים שנראים בטוחים.

תמונה היא המקום המושלם להסתיר קוד זדוני - מכיוון שכולם באינטרנט מניחים שקבצי תמונות בטוחים לפתיחה.

צילום מסךלהלן צילום מסך מהפרופיל של סאומיל שאה באתר HITBSecConf.

שאה מסביר: "Stegosploit מאפשר לך לספק ניצולי דפדפן קיימים באמצעות תמונות. הניצול מוסתר באופק, ואתה לא יכול לעצור את מה שאתה לא יכול לראות. "

השיטה משתמשת ב"טכניקות סטגנוגרפיה פשוטות "כדי לקודד קוד ניצול לערכי RGB שבתמונה. לאחר מכן משתמשים בשיטה רגילה של HTML 5 בשם Canvas, הנתמכת על ידי כל הדפדפנים הגדולים, כדי לטפל בקובץ התמונה הזדוני כקטע JavaScript..

הניצולים המבוססים על JavaScript יכולים להסתובב בדפדפן שלך, ולהוריד תוכנה זדונית או להעברת הנתונים שלך. לא היית יודע דבר. כל מה שעשית היה להסתכל על תמונה!

פיגועים בסטגוס

האם Stegosploit כרגע מאיים על הבטיחות המקוונת שלך? עליך להיות זהיר יותר באילו תמונות אתה מסתכל, במקרה שהקובץ מסתיר JavaScript זדוני?

לפי שעה אין יותר מדי מה לדאוג.

פריצות Stegosploit מחייבות אותך לפתוח קבצי תמונות שחסרים את סיומות הקובץ שלהם, כלומר הקובץ צריך לקרוא בשם 'תמונה' במקום 'picture.jpg'. האתרים המהימנים ביותר, כמו פייסבוק ודרופבוקס, אינם מאפשרים למשתמשים להעלות קבצים ללא הרחבות.

אתרים רבים מעבדים שוב קבצי תמונות שהועלו, שלרוב יסירו את קוד ה- Stegosploit מהתמונה. פיו!

רק ההתחלה

אך בעוד שסטגוספליט אינו מהווה איום גדול במתכונתו הנוכחית, הוא ככל הנראה מייצג את התחלה של צורה חדשה של פריצה עם תמונות.

"הטכניקות הללו מגיעות, במוקדם או במאוחר," אומר שאה. "אני היחיד שמדבר על זה על הבמה אבל אני בטוח שיש אנשים אחרים שהבינו את זה."

קחו למשל את עצמכם מוזהרים.

האם אתה מרגיש אחריות מכריעה להזהיר את חבריך מפני שטגוספליט? שתפו איתם את הסיפור הזה!

#WTF יום הולדת של ExpressVPN מביא לך סיפורים מוזרים, מזעזעים ומפחידים על פרטיות נתונים - נמשכים היישר מהחדשות. חושבים שהפרטיות שלך היא שלך? תחשוב שוב. תרגישו לא בנוח. תכעסי. אתם תחשבו "WTF ?!"

אוהבים את הפוסט הזה? שונא את זה? קרא סיפורי אימה נוספים על הפלישה לפרטיותך בארכיון #WTF יום הולדת שלנו.

פיקסלים בתמונות יכולים לפרוץ את המחשב שלך - #WTF יום הולדת
admin Author
Sorry! The Author has not filled his profile.