Piksel dalam gambar dapat meretas komputer Anda – #WTFWednesday

Piksel dalam gambar dapat meretas komputer Anda - #WTFWednesday

Apa yang berbahaya dari melihat file gambar di browser web Anda?

Di masa lalu, tidak ada apa-apa. Anda memuat gambar. Ini ditampilkan di layar Anda. Anda menutupnya, atau pergi ke halaman lain. Tidak ada yang dapat dilakukan file gambar untuk membahayakan Anda atau komputer Anda.

Tapi sekarang - berkat teknik peretasan "Stegosploit" baru yang dipresentasikan pada konferensi peretasan Amsterdam Hack In The Box - file gambar dapat diatur menjadi jauh lebih berbahaya.

tangkap dari tayangan slide stegosploitAwww, melelehkan hati! Lihatlah cuplikan layar yang menggemaskan ini dari slide Stegosploit Saumil Shah!

Peretas di belakang Stegosploit adalah Saumil Shah, seorang peneliti keamanan dari India.

"Saya dapat mengambil gambar, mengunggahnya ke suatu tempat dan jika saya hanya mengarahkan Anda ke gambar itu, dan Anda memuat gambar ini di browser, itu akan meledak," kata Shah pada konferensi di bulan Mei..

Kedengarannya seperti ancaman serius bagi keamanan online Anda. Dan ketika teknologinya membaik, bisa jadi itu persisnya.

Peretasan Berdasarkan Metode Kuno

Jadi apa maksud Shah ketika dia mengatakan dia bisa "meledakkan" gambar di browser Anda? Apa tepatnya yang bisa dilakukan Stegosploit pada komputer Anda?

Untuk memahami, kita perlu melihat lebih dekat pada Stegosploit dan bagaimana cara kerjanya. Nama Stegosploit berasal dari "steganografi," yang merupakan ilmu kuno menyembunyikan informasi kode di dalam data lain yang terlihat aman.

Gambar adalah tempat yang sempurna untuk menyembunyikan kode berbahaya - karena semua orang di Internet menganggap file gambar aman untuk dibuka.

tangkapan layar saumil shahIni screenshot dari profil Saumil Shah di situs web HITBSecConf.

Shah menjelaskan: “Stegosploit memungkinkan Anda mengirimkan eksploit browser yang ada menggunakan gambar. Eksploitasi tersembunyi di depan mata, dan Anda tidak bisa menghentikan apa yang tidak bisa Anda lihat. "

Metode ini menggunakan "teknik steganografi sederhana" untuk menyandikan kode exploit ke dalam nilai RGB di dalam gambar. Metode HTML 5 standar yang disebut Canvas, yang didukung oleh semua browser utama, kemudian digunakan untuk menangani file gambar berbahaya sebagai bagian dari JavaScript.

Eksploitasi berbasis JavaScript yang tersembunyi kemudian dapat berjalan di browser Anda, berpotensi mengunduh malware atau mengirimkan data Anda. Anda tidak akan tahu apa-apa. Yang Anda lakukan hanyalah melihat gambar!

Serangan Stegosploit Di Alam Liar

Apakah Stegosploit ancaman terhadap keamanan online Anda saat ini? Jika Anda lebih berhati-hati dengan gambar yang Anda lihat, seandainya file tersebut menyembunyikan JavaScript berbahaya?

Untuk saat ini, tidak ada yang terlalu dikhawatirkan.

Peretasan Stegosploit mengharuskan Anda untuk membuka file gambar yang tidak memiliki ekstensi file, yaitu file tersebut harus diberi nama 'gambar' alih-alih 'picture.jpg.' Sebagian besar situs tepercaya, seperti Facebook dan Dropbox, jangan biarkan pengguna mengunggah file tanpa ekstensi.

Banyak situs juga memproses ulang file gambar yang diunggah, yang biasanya akan menghapus kode Stegosploit dari gambar. Fiuh!

Hanya awal

Tetapi sementara Stegosploit bukan ancaman utama dalam bentuknya saat ini, Stegosploit sepertinya merupakan awal dari bentuk peretasan dengan gambar baru.

"Teknik-teknik ini akan datang, cepat atau lambat," kata Shah. "Aku satu-satunya yang membicarakannya di atas panggung, tetapi aku yakin ada orang lain yang sudah mengetahuinya."

Anggap diri Anda sudah diperingatkan.

Apakah Anda merasakan tanggung jawab luar biasa untuk memperingatkan teman Anda tentang Stegosploit? Bagikan kisah ini dengan mereka!

ExpressVPN #WTFWednesday membawakan Anda kisah-kisah aneh, mengejutkan, dan menyeramkan tentang privasi data — ditarik langsung dari berita. Pikirkan privasi Anda adalah milik Anda? Pikirkan lagi. Anda akan merasa tidak nyaman. Anda akan marah. Anda akan berpikir, "WTF ?!"

Suka posting ini? Benci itu? Baca lebih banyak kisah horor tentang pelanggaran privasi Anda di arsip #WTFWednesday kami.

Piksel dalam gambar dapat meretas komputer Anda - #WTFWednesday
admin Author
Sorry! The Author has not filled his profile.