Investigador demuestra datos ocultos en imágenes de Twitter

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien la esteganografía no es nada nuevo, un investigador ha llevado esta técnica al siguiente nivel.
Como se demostró, ahora cualquiera puede ocultar grandes cantidades de datos en imágenes de Twitter que otros pueden descargar.

Ocultar datos en imágenes de Twitter

Según se informa, el investigador David Buchanan compartió una técnica para ocultar datos enormes como archivos .zip y mp3 en imágenes de Twitter.

Al revelar los detalles en un tweet, compartió cómo escondió 3 MB de datos dentro de una imagen PNG.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La imagen que subió es en sí misma una demostración de la técnica, ya que incluye el código fuente.
Para descargar la fuente, todo lo que debe hacer un usuario es descargar la imagen PNG y cambiar el nombre de la extensión del archivo como ".zip" mientras guarda.

Esto transformará inmediatamente el formato de archivo en un archivo que se puede abrir con cualquier visor de archivos como WinZip.
En otro tweet, compartió otro archivo de imagen que incluía un archivo de audio. Sin embargo, recuperar el audio tenía la limitación de descargar la imagen en su resolución completa.

La razón por la que compartió esta técnica es que este tipo de esteganografía escapa a la detección de Twitter.
Con respecto a cómo funciona esto, un ingeniero de Google ha explicado que implica agregar datos al fragmento de datos de imagen de PNG.

No hay solución por ahora

Si bien la técnica parece inofensiva, en realidad alberga un gran potencial de abuso.

Dada la frecuencia con la que se comparten imágenes en Twitter, un actor de amenazas puede aprovechar fácilmente esta técnica para iniciar una campaña de malware masiva.

En particular, cuando la fuente exacta para ejecutar la técnica está disponible y Twitter no puede desinfectar estas imágenes en la actualidad.

Además, el investigador no reveló formalmente el error a Twitter.

Según su declaración,

"Informé de mi truco original basado en JPEG al programa de recompensas de errores de Twitter, pero dijeron que no era un error de seguridad, así que no me molesté en informarles de este."

Considerando que, con respecto al abuso potencial de esta técnica, comentó:

"No creo que esta técnica sea particularmente útil para los atacantes, porque las técnicas de esteganografía de imágenes más tradicionales son más fáciles de implementar (e incluso más sigilosas). Pero tal vez podría usarse como parte de un sistema C2, para distribuir archivos maliciosos a hosts infectados."

Veamos si Twitter aborda este asunto pronto.

Fuente:
Latest hacking news
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta