Piksel dalam imej boleh menggodam komputer anda – #WTFWednesday
Apa yang berbahaya tentang melihat fail gambar dalam pelayar web anda?
Pada masa lalu, tiada apa-apa. Anda memuatkan imej. Ia dipaparkan pada skrin anda. Anda menutupnya, atau pergi ke laman lain. Tidak ada apa-apa bahawa fail gambar itu sendiri boleh dilakukan untuk mencederakan anda atau komputer anda.
Tetapi sekarang – terima kasih kepada teknik penggodaman “Stegosploit” baru yang dibentangkan di persidangan hacking Amsterdam Hack In The Box – fail imej boleh ditetapkan untuk menjadi lebih berbahaya.
Awww, jantung lebur! Lihat tangkapan skrin yang menarik ini dari slaid Stegosploit Saumil Shah!
Penggodam belakang Stegosploit ialah Saumil Shah, penyelidik keselamatan dari India.
“Saya boleh mengambil gambar, memuatkannya di suatu tempat dan jika saya hanya menunjukkan kepada anda imej itu, dan anda memuatkan imej ini dalam pelayar, ia akan meletup,” Shah memberitahu persidangan itu pada bulan Mei.
Ia kelihatan seperti ancaman serius terhadap keselamatan dalam talian anda. Dan sebagai teknologi bertambah baik, ia boleh menjadi tepat.
A Hack Berdasarkan Kaedah Kuno
Jadi apa maksud Shah apabila dia berkata dia boleh “meletupkan” imej dalam penyemak imbas anda? Apa yang sebenarnya boleh dilakukan oleh Stegosploit komputer anda?
Untuk memahami, kita perlu melihat dengan lebih dekat Stegosploit dan bagaimana ia berfungsi. Nama Stegosploit berasal dari “steganography,” yang merupakan sains purba menyembunyikan maklumat berkod dalam data lain yang kelihatan selamat.
Imej adalah tempat yang sempurna untuk menyembunyikan kod jahat – kerana semua orang di Internet menganggap file gambar selamat untuk dibuka.
Berikut ialah screenshot dari profil Saumil Shah di laman web HITBSecConf.
Shah menjelaskan: “Stegosploit membolehkan anda menghantar eksploitasi pelayar sedia ada menggunakan gambar. Eksploitasi tersembunyi di sisi biasa, dan anda tidak dapat menghentikan apa yang anda tidak dapat melihat. “
Kaedah menggunakan “teknik steganografi mudah” untuk mengekod kod mengeksploitasi ke dalam nilai RGB di dalam gambar. Kaedah standard HTML 5 yang dipanggil Canvas, yang disokong oleh semua pelayar utama, kemudian digunakan untuk mengendalikan fail gambar berniat jahat sebagai sekeping JavaScript.
Eksploitasi berasaskan JavaScript yang tersembunyi kemudian boleh dijalankan di pelayar anda, yang mungkin memuat turun malware atau menghantar data anda. Anda tidak akan tahu apa-apa. Apa yang anda lakukan ialah melihat gambar!
Serangan Stegosploit Di dalam Liar
Adakah Stegosploit menjadi ancaman kepada keselamatan dalam talian anda sekarang? Sekiranya anda lebih berhati-hati mengenai gambar-gambar yang anda lihat, sekiranya fail tersebut menyembunyikan JavaScript berniat jahat?
Pada masa ini, tidak terlalu risau.
Hacks Stegosploit menghendaki anda membuka fail gambar yang tiada sambungan fail mereka, iaitu fail perlu menamakan ‘gambar’ dan bukan ‘picture.jpg.’ Laman-laman yang dipercayai, seperti Facebook dan Dropbox, jangan biarkan pengguna memuat naik fail tanpa sambungan.
Banyak laman web juga memproses semula fail gambar yang dimuat naik, yang biasanya akan mengeluarkan kod Stegosploit dari imej. Phew!
Hanya Permulaan
Tetapi sementara Stegosploit bukanlah ancaman utama dalam bentuk semasa, ia mungkin mewakili permulaan bentuk baru menggodam dengan gambar.
“Teknik-teknik ini akan datang, lambat laun,” kata Shah. “Saya satu-satunya yang bercakap mengenainya di atas panggung tetapi saya pasti ada orang lain yang menganggapnya.”
Pertimbangkan diri anda diberi amaran.
Adakah anda merasa bertanggungjawab untuk memberi amaran kepada rakan-rakan anda tentang Stegosploit? Kongsi cerita ini dengan mereka!
#WTFWednesday ExpressVPN membawa anda cerita aneh, mengejutkan, dan menyeramkan tentang privasi data-ditarik terus dari berita. Fikirkan privasi anda adalah milik anda? Fikir semula. Anda akan merasa tidak selesa. Anda akan marah. Anda akan berfikir, “WTF ?!”
Seperti jawatan ini? Benci itu? Baca lebih banyak cerita seram tentang pencerobohan privasi anda dalam arkib #WTFWednesday kami.