Для примера разработчик опубликовал png-картинку, внутри которой размещен исходный код его проекта tweetable-polyglot-png на GitHub.

Исследователь Давид Бучанан (Dаvіd Bucһаnаn) обнаружил, что в одной прикрепленной картинке в Twitter можно разместить около 3 МБ заархивированных данных. Сервис частично удаляет ненужные данные из загружаемых пользовательских PNG, но не проверяет добавленные данные в конце потока DEFLATE (части файла, в котором хранятся сжатые данные пикселей) внутри блока IDAT, при условии, что общий файл изображения соответствует всем необходимым требованиям и его не нужно повторно пережимать. Поэтому туда можно добавлять дополнительные данные.

Бучанан рассказал в описание своего проекта tweetable-polyglot-png на GitHub, как правильно сделать обложку предварительного просмотра для такой картинки-архива. Изображение для нее не должно содержать ненужных фрагментов метаданных.

Общий размер прикрепленного файла должен быть менее 3 МБ, иначе Twitter конвертирует PNG в JPEG.

Бучанан написал скрипт на python, с помощью которого можно быстро создать картинку-архив для передачу в Twitter. По умолчанию встраиваемый файл может являться zip-архивом, также поддерживается pdf и mp3. Исходный код скрипта Бучанан опубликовал на GitHub под лицензией MIT.

Пример mp3 файла внутри картинки в Twitter по мотоду Бучанан.

Эксперты издания Bleeping Computer пояснили, что техника сокрытия архивов, например, в конце JPEG, не нова, но обычно социальные сервисы проверяют определенным образом корректность вложений (режим sanitize), чтобы не дать пользователям распространять скрытые данные (вредоносные команды, полезную нагрузку и другой контент) для управления ботнетами и в других мошеннических целях.

Оказалось, что в Twitter эта блокировка, как показал Бучанан, не работает. Это плохо, так как Twitter может считаться безопасным хостом различными системами мониторинга сети, а распространение вредоносных программ через соцсеть с использованием обработанных файлов изображений является рабочим способом для обхода систем безопасности, настроенных, например, внутри периметра компаний.

Ранее Бучанан предупредил Twitter об этой проблеме по программе bug bounty. В компании ему отказали в награде и заявили, что эта ситуация не является ошибкой или багом в системе безопасности сервиса. Соцсеть не считает это проблемой.

Фактически, единственный способ обойти распространение загрузки таких доработанных картинок с вредоносными вложениями — блокировать доступ внутри компании к домену изображений Twitter, расположенному по адресу pbs.twimg.com. Но в этом случае в этой сети пользователи не смогут полноценно работать с сервисом коротких сообщений.

Примечательно, что в конце октября 2020 года похожий метод использовали энтузиасты для распространения кода youtube-dl в виде картинок в Twitter.