您现在的位置:首页 > 科技资讯 >

研究人员发现,Twitter托管的图像可以被滥用来隐藏ZIP和MP3文件

时间:2021-03-19 18:30:33 来源:网络

昨天,一位研究人员透露了一种在Twitter图片中隐藏3MB数据的方法。在他的演讲中,研究人员展示了包含在Twitter上的PNG图像中的mp3音频文件和压缩文件。

虽然在图像中隐藏非图像数据的技术并不新鲜,因为图像可以托管在twitter等流行网站上,也不是杀毒软件,但图像可能会被恶意行为者滥用。昨天,研究人员和程序员大卫·布坎南(DavidBuchanan)在他的推特上发布了一些例子,其中隐藏了整个压缩文件和mp3文件等数据。

虽然托管在Twitter上的附件PNG文件在预览时代表了一个有效的图像,但只要下载和更改其文件扩展名,就足以从同一个文件中获取不同的内容。根据注释计算机的数据,研究人员在Twitter上发布的6kb图像包含整个压缩文件。zip包含DavidBuchanan的源代码,任何人都可以使用该源代码将杂项内容打包到PNG图像中。

对于那些不愿这么做的人,研究人员还提供了源代码,用于在GitHub上生成他称之为tweetable-polyglot的PNG文件。在另一个上传到Twitter上的例子中,Buchanan在Twitter上发布了一张唱歌的图片。下载这张图片,改名为.mp3,在VLC中打开它,成为mp3的图片文件将开始播放rickastley的Nungonnagiveyouup歌曲。DavidBuchanan说,你可以在平流的末尾附加数据,压缩像素数据存储在文件中,而不需要推特将其关闭。

隐身威胁行为者经常使用隐身技术,因为他们可以将恶意命令、有效载荷和其他内容隐藏在看似普通的文件中,比如图像。就在昨天,爆电脑报道了一种新的渗透技术,网络罪犯利用这种技术将被盗的信用卡数据隐藏在jpg图片中。正如戴维·布坎南(DavidBuchanan)所展示的,Twitter可能不会总是从图片中删除不相关的信息,这为威胁行为者滥用平台提供了空间。