- Специальный корреспондент
Эксперт нашел новый способ злоупотребления стеганографией в контексте Twitter. При некоторых обстоятельствах в PNG-изображения можно прятать почти любые посторонние данные. Реакция Twitter пока неизвестна.
Недоочищенная стеганография
Эксперт по безопасности Дэвид Бьюкенен (David Buchanan) обнаружил способ прятать в изображения в Twitter целые файлы ZIP и MP3 размером до 3 МБ. Эксплуатация такой уязвимости потребует некоторых усилий, но в целом это весьма серьезный вектор атаки.
Стеганография, то есть интегрирование в цифровые изображения дополнительные элементы, вплоть до программного кода — явление нередкое. Однако в социальных сетях, как правило, есть свои инструменты очистки изображений от всего постороннего. Но в данном случае они работают не совсем так, как следовало бы.
Бьюкенену удалось продемонстрировать это на практике. В своем аккаунте в Twitter он разместил ряд изображений, которые содержали заархивированные файлы с программным кодом внутри, и даже аудиозапись в формате MP3. Для пользователей Twitter это будут обычные, легко читаемые изображения. Однако если скачать файл с оригиналом изображений, а затем просто заменить расширение (с PNG на ZIP или MP3), то станет доступным скрытое содержимое — архив или аудиозапись.
Twitter позволяет прятать в изображениях архивы и музыку
По словам Бьюкенена, Twitter сжимает изображения при загрузке и пытается вычистить все несущественные метаданные. Однако если попытаться добавить нужные данные в часть файла после потока Deflate (т. е. в той части файла, где хранятся сжатые данные о пикселях), Twitter их не удаляет.
Бьюкенен опубликовал исходный код утилиты, позволяющей генерировать гибридные файлы PNG. Ключевая оговорка состоит в том, что такие гибриды, опубликованные в Twitter, срабатывают только при условии, что их получатель скачивает полноразмерное изображение, а не миниатюру.
Заманчивый вектор
Тем не менее, это формирует весьма заманчивый вектор для кибератак, хотя, по признанию Бьюкенена, существуют и куда более практичные методы использования стеганографии.
«Не думаю, что этот метод особенно полезен для злоумышленников: более традиционные методы стеганографии проще реализовать, и они еще более скрытны», — заметил он.
Методика, продемонстрированная Бьюкененом, может использоваться не только для прямой загрузки вредоносов на пользовательские компьютеры, но и для обмена данными между вредоносами и управляющими ими серверами. Об этом заявил сам эксперт.
Ранее он представил еще один похожий трюк: спрятал в JPG-миниатюре, опубликованной в Twitter, все литературное наследие Уильяма Шекспира. Администрация сервиса тогда заявила, что никакой проблемы в этом не усматривает. Поэтому о своем нынешнем открытии Бьюкенен просто не стал сообщать сервису приватно, сразу опубликовав всю информацию в общем доступе.
На днях издание Bleeping Computer также сообщило об обнаружении нового метода вывода данных кредитных карт из скомпрометированных онлайн-магазинов Magento — внутри JPG-изображений, которые просто загружались на зараженный веб-сайт и уже оттуда выкачивались, не вызывая никакой реакции у защитных систем.
«Существование более практичных методов не означает, что этот не будут использовать на практике, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Тем более, что защититься от таких атак будет сложновато — для защитных систем это просто стандартные файлы изображений PNG, пока у них не сменится расширение. Остается надеяться, что Twitter примет дополнительные меры и будет тщательнее проверять загруженные пользователями изображения на предмет посторонних данных в них».
