图片中的像素可能会入侵您的计算机-#WTF星期三

[ware_item id=33][/ware_item]

图片中的像素可能会入侵您的计算机-#WTF星期三


在网络浏览器中查看图片文件有何危险??

在过去,什么都没有。您加载了图像。它显示在屏幕上。您将其关闭,或转到其他页面。图片文件本身无法对您或您的计算机造成伤害.

但是现在-由于在阿姆斯特丹黑客大会Hack In The Box中介绍了新的“ Stegosploit”黑客技术,图像文件可能会变得更加危险.

从stegosploit幻灯片中捕获噢,真心融化!请查看Saumil Shah的Stegosploit幻灯片中的这张精美截图!

Stegosploit背后的黑客是印度安全研究员Saumil Shah.

“我可以拍摄一张图像,将其上传到某个地方,如果我只是将您指向该图像,然后将该图像加载到浏览器中,它就会爆炸,” Shah在5月的会议上说。.

听起来您的在线安全受到严重威胁。随着技术的进步,这可能恰恰是.

基于古代方法的黑客

那么Shah说可以在您的浏览器中“引爆”图像是什么意思? Stegosploit究竟能为您做什么计算机?

要理解,我们需要仔细研究Stegosploit及其工作方式。 Stegosploit这个名字来自“隐写术”,这是将编码信息隐藏在其他看起来安全的数据中的古老科学.

图像是隐藏恶意代码的理想场所-因为Internet上的每个人都认为可以安全打开图片文件.

saumil shah截图这是HITBSecConf网站上Saumil Shah的个人资料的屏幕截图.

莎阿(Shah)解释说:“ Stegosploit使您可以使用图片来提供现有的浏览器漏洞。该漏洞被隐藏在可见的地方,您无法阻止看不到的东西。”

该方法使用“简单隐写术技术”将漏洞利用代码编码为图片内的RGB值。所有主要浏览器都支持一种称为Canvas的标准HTML 5方法,该方法被用作JavaScript来处理恶意图片文件。.

然后,基于JavaScript的隐藏漏洞可以在您的浏览器中运行,从而可能下载恶意软件或传输您的数据。你什么都不知道。你所做的只是看一张照片!

剑齿龙在野外的攻击

Stegosploit现在对您的在线安全构成威胁吗?如果该文件隐藏了恶意JavaScript,应该更谨慎地查看哪些图片?

暂时不必担心太多.

Stegosploit骇客要求您打开缺少文件扩展名的图片文件,即文件需要命名为“ picture”而不是“ picture.jpg”。大多数受信任的网站(例如Facebook和Dropbox)不允许用户上传没有扩展名.

许多站点还重新处理上传的图片文件,通常会从图像中删除Stegosploit代码。 ew!

只是开始

但是,尽管Stegosploit并不是目前的主要威胁,但它可能代表了一种新的带有图片的黑客形式的开始.

沙阿说:“这些技术迟早会出现。” “我是唯一一个在舞台上谈论它的人,但是我敢肯定还有其他人已经弄清楚了。”

考虑一下自己被警告.

您是否有压倒性的责任来警告您的朋友有关Stegosploit的信息? 与他们分享这个故事!

ExpressVPN的#WTF星期三带给您关于数据隐私的怪异,震惊和令人毛骨悚然的故事-直接从新闻中获取。认为您的隐私属于您?再想一想。您会感到不舒服。你会很生气。您会想,“ WTF ?!”

喜欢这个职位吗?讨厌它?在我们的#WTF周三档案中阅读更多有关侵犯您隐私的恐怖故事.

图片中的像素可能会入侵您的计算机-#WTF星期三
admin Author
Sorry! The Author has not filled his profile.