Pixels in afbeeldingen kunnen je computer hacken – #WTFWoensdag

Wat is er zo gevaarlijk aan het bekijken van een fotobestand in uw webbrowser?

In het verleden niets. Je hebt de afbeelding geladen. Het werd op uw scherm weergegeven. U hebt het gesloten of naar een andere pagina gegaan. Er was niets dat het fotobestand zelf kon doen om u of uw computer te schaden.

Maar nu – dankzij de nieuwe “Stegosploit” -hacktechniek gepresenteerd op de hackconferentie Hack In The Box in Amsterdam, kunnen afbeeldingsbestanden een stuk gevaarlijker worden.

vastleggen van stegosploit-diavoorstellingAwww, smeltend! Bekijk dit schattige screenshot van de Stegosploit-dia’s van Saumil Shah!

De hacker achter Stegosploit is Saumil Shah, een beveiligingsonderzoeker uit India.

“Ik kan een afbeelding maken, deze ergens uploaden en als ik je gewoon naar die afbeelding wijs en je deze afbeelding in een browser laadt, zal het ontploffen,” vertelde Shah de conferentie in mei.

Het klinkt als een serieuze bedreiging voor uw online beveiliging. En naarmate de technologie verbetert, kan het precies dat zijn.

Een hack gebaseerd op oude methoden

Dus wat betekent Shah als hij zegt dat hij een afbeelding in uw browser kan laten “ontploffen”? Wat zou de Stegosploit precies kunnen doen op uw computer?

Om dit te begrijpen, moeten we Stegosploit en hoe het werkt nader bekijken. De naam Stegosploit komt van ‘steganografie’, wat de oude wetenschap is van het verbergen van gecodeerde informatie in andere gegevens die er veilig uitzien.

Een afbeelding is de perfecte plek om kwaadaardige code te verbergen – omdat iedereen op internet ervan uitgaat dat afbeeldingsbestanden veilig kunnen worden geopend.

screenshot van saumil shahHier is een screenshot van het profiel van Saumil Shah op de HITBSecConf-website.

Shah legt uit: “Met Stegosploit kunt u bestaande browserexploitaties leveren met behulp van afbeeldingen. De exploit is verborgen in het zicht, en je kunt niet stoppen met wat je niet kunt zien. “

De methode maakt gebruik van “eenvoudige steganografietechnieken” om exploitcode te coderen in de RGB-waarden in een afbeelding. Een standaard HTML 5-methode genaamd Canvas, die wordt ondersteund door alle belangrijke browsers, wordt vervolgens gebruikt om het schadelijke afbeeldingsbestand als een JavaScript-bestand af te handelen.

De verborgen op JavaScript gebaseerde exploits kunnen vervolgens in uw browser worden uitgevoerd, mogelijk malware downloaden of uw gegevens verzenden. Je zou niets weten. Het enige wat je deed was naar een foto kijken!

Stegosploit Attacks In The Wild

Is Stegosploit op dit moment een bedreiging voor uw online veiligheid? Mocht u voorzichtiger zijn naar welke foto’s u kijkt, in het geval dat het bestand schadelijke JavaScript verbergt?

Voorlopig is er niet zoveel om je zorgen over te maken.

Stegosploit hacks vereisen dat u afbeeldingsbestanden opent die hun bestandsextensies missen, dwz dat het bestand de naam ‘picture’ moet hebben in plaats van ‘picture.jpg’. Op de meeste vertrouwde sites, zoals Facebook en Dropbox, mogen gebruikers geen bestanden uploaden zonder extensies.

Veel sites verwerken geüploade afbeeldingsbestanden ook opnieuw, waardoor Stegosploit-code meestal uit de afbeelding wordt verwijderd. opluchting!

Pas het begin

Maar hoewel Stegosploit in de huidige vorm geen grote bedreiging vormt, is het waarschijnlijk het begin van een nieuwe vorm van hacken met afbeeldingen.

“Deze technieken komen, vroeg of laat,” zegt Shah. “Ik ben de enige die erover op het podium praat, maar ik weet zeker dat er andere mensen zijn die dit hebben uitgezocht.”

Beschouw jezelf gewaarschuwd.

Voelt u een overweldigende verantwoordelijkheid om uw vrienden te waarschuwen voor Stegosploit? Deel dit verhaal met hen!

De #WTFWed Wednesday van ExpressVPN brengt je rare, schokkende en enge verhalen over gegevensprivacy – rechtstreeks uit het nieuws. Denk je dat jouw privacy van jou is? Denk nog eens goed na. Je zult je ongemakkelijk voelen. Je zult woedend zijn. Je zult denken: “WTF ?!”

Like deze post? Haat het? Lees meer horrorverhalen over de inbreuk op uw privacy in ons #WTFWed Wednesday-archief.