Share This
Связаться со мной
Крути в низ
Categories
//Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы

Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы

17.03.2021Category : My Habr

issledovatel pokazal chto twitter ne menjaet kartinki chto dopuskaet vozmozhnost skryvat vnutri fajly e2510c3 - Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы

Для примера разработчик опубликовал png-картинку, внутри которой размещен исходный код его проекта tweetable-polyglot-png на GitHub.

Исследователь Давид Бучанан (Dаvіd Bucһаnаn) обнаружил, что в одной прикрепленной картинке в Twitter можно разместить около 3 МБ заархивированных данных. Сервис частично удаляет ненужные данные из загружаемых пользовательских PNG, но не проверяет добавленные данные в конце потока DEFLATE (части файла, в котором хранятся сжатые данные пикселей) внутри блока IDAT, при условии, что общий файл изображения соответствует всем необходимым требованиям и его не нужно повторно пережимать. Поэтому туда можно добавлять дополнительные данные.

Бучанан рассказал в описание своего проекта tweetable-polyglot-png на GitHub, как правильно сделать обложку предварительного просмотра для такой картинки-архива. Изображение для нее не должно содержать ненужных фрагментов метаданных.

Общий размер прикрепленного файла должен быть менее 3 МБ, иначе Twitter конвертирует PNG в JPEG.

Бучанан написал скрипт на python, с помощью которого можно быстро создать картинку-архив для передачу в Twitter. По умолчанию встраиваемый файл может являться zip-архивом, также поддерживается pdf и mp3. Исходный код скрипта Бучанан опубликовал на GitHub под лицензией MIT.

Пример mp3 файла внутри картинки в Twitter по мотоду Бучанан.

Эксперты издания Bleeping Computer пояснили, что техника сокрытия архивов, например, в конце JPEG, не нова, но обычно социальные сервисы проверяют определенным образом корректность вложений (режим sanitize), чтобы не дать пользователям распространять скрытые данные (вредоносные команды, полезную нагрузку и другой контент) для управления ботнетами и в других мошеннических целях.

Оказалось, что в Twitter эта блокировка, как показал Бучанан, не работает. Это плохо, так как Twitter может считаться безопасным хостом различными системами мониторинга сети, а распространение вредоносных программ через соцсеть с использованием обработанных файлов изображений является рабочим способом для обхода систем безопасности, настроенных, например, внутри периметра компаний.

Ранее Бучанан предупредил Twitter об этой проблеме по программе bug bounty. В компании ему отказали в награде и заявили, что эта ситуация не является ошибкой или багом в системе безопасности сервиса. Соцсеть не считает это проблемой.

Фактически, единственный способ обойти распространение загрузки таких доработанных картинок с вредоносными вложениями — блокировать доступ внутри компании к домену изображений Twitter, расположенному по адресу pbs.twimg.com. Но в этом случае в этой сети пользователи не смогут полноценно работать с сервисом коротких сообщений.

Примечательно, что в конце октября 2020 года похожий метод использовали энтузиасты для распространения кода youtube-dl в виде картинок в Twitter.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close