Дослідник і програміст David Buchanan продемонстрував, що в Twitter можна завантажити зображення, модифіковані за допомогою стеганографії. Тобто всередині картинок можна розмістити до 3 Мб даних. Як виявилося, соціальна мережа не очищає зображення належним чином.

Девід Б’юкенен додав до своїх повідомлень приклади таких зображень, в яких сховав ZIP-архів з вихідним кодом і MP3-файл. Хоча ці файли PNG, розміщені в Twitter, на перший погляд є звичайними картинками, простого завантаження і зміни їх розширення досить для отримання іншого вмісту.

“Завантажте файл, перейменуйте в .mp3 і відкрийте в VLC, щоб отримати сюрприз. (Примітка: переконайтеся, що ви завантажили версію файлу з повним дозволом, має бути 2048×2048 пікселів”, – говорить експерт.

Зображення, розміщене на сервері Twitter ( https://pbs.twimg.com/media/Ewo_O6zWUAAWizr?format=png&name=large ) має розмір 2,5 Мб і містить mp3-файл з треком Never Gonna Give You Up від Ріка Естлі.

Дослідник вже опублікував на GitHub вихідний код для створення таких файлів: tweetable-polyglot-png.

“Зазвичай Twitter стискає зображення, але в деяких випадках цього не відбувається. Також Twitter намагається видалити всі несуттєві метадані, щоб polyglot-файли не працювали. Але я виявив новий трюк: ви можете додавати дані в кінець DEFLATE-потоку (частина файлу, де зберігаються стислі дані пікселів), і Twitter не буде їх видаляти”, – пояснив Б’юкенен.

Той факт, що Twitter не завжди може видалити сторонню інформацію із зображень, відкриває зловмисникам можливості для зловживань платформою. Наприклад, в файл PNG може бути поміщений шкідливий код, який полегшує управління зловмисним ПЗ. Тоді як повне блокування трафіку зображень з Twitter і домена pbs.twimg.com може вплинути на легітимні операції.

Дослідник говорить, що вже намагався повідомити розробникам Twitter про аналогічну проблему з файлів JPEG, але тоді йому відповіли, що це не помилка, пов’язана з безпекою. Тому повідомляти компанію про аналогічну проблему з файлами PNG Б’юкенен вже не став.

Стеганографія — тайнопис, при якому повідомлення, закодоване таким чином, що не виглядає як повідомлення — на відміну від криптографії. Таким чином непосвячена людина принципово не може розшифрувати повідомлення — бо не знає про факт його існування.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.