Новая уязвимость в twitter из PNG в ZIP

Как тайно разместить ZIP и MP3 файлы под видом картинок в Твиттере?

17 марта 2021 года один исследователь показал, как можно спрятать 3 Мб данных в картинке, размещенной в Твиттере. Он продемонстрировал, как сделать это для аудиофайлов и для ZIP-архивов.

Сама идея прятать данные различных форматов в изображении не нова – существует целое искусство стеганографии. Но факт, что такие данные могут быть скрыты на популярных сайтах типа Твиттера, которые не подвергаются цензуре, открывает большие возможности для злоумышленников.

Поющая картинка

Дэвид Бучанан, исследователь и программист, прикрепил к своему твиту картинки, содержащие ZIP-архив и MP3-файл. При просмотре картинка в формате PNG отображалась корректно, но, стоило загрузить ее и изменить расширение файла, и содержание тут же менялось.

Опубликованный программистом ZIP-архив содержал в себе исходный код, с помощью которого любой пользователь социальной сети может спрятать разнообразный контент в изображение формата PNG. Для тех, кто предпочитает более удобный подход, он также опубликовал специальный файл с исходным кодом на GitHub.

Еще одна картинка, загруженная Бучананом на Твиттер, умеет петь. «Загрузите ее, измените расширение нa «.mp3» и откройте в плеере VLC – и вы очень удивитесь!» - сказал исследователь. Издание «BleepingComputer» убедилось, что в результате таких действий начинает играть песня Рика Эстли «Never Gonna Give You Up».

В ходе интервью программист сообщил изданию, что Твиттер обычно сжимает картинки и удаляет все лишние данные, и это может мешать вышеописанным техникам. Но придуманная им хитрость позволяет обойти проблему.

Зеленый свет злоумышленникам

Мошенники часто используют техники стеганографии. Например, чтобы прятать украденные данные кредитных карт под видом изображений в формате JPG.

Таким образом, Твиттер предоставляет еще одну платформу для совершения преступлений. «Однако использовать традиционные способы злоумышленникам куда проще», - отмечает Дэвид. – «Куда более вероятно распространение таким образом вредоносного ПО».

Программист уже отправлял сообщение о возникшем баге в Твиттер, когда обнаружил его впервые. Но служба поддержки ответила, что данная проблема не является ошибкой службы безопасности сайта.