Come riportato dai colleghi di Bleeping Computer, il ricercatore David Buchanan ha recentemente scoperto il modo di nascondere fino a tre MB di dati all'interno di un'immagine su Twitter, dimostrandone il funzionamento inserendo all’interno di un PNG sia un file audio MP3 che un archivio ZIP. Accedere al contenuto “nascosto” è piuttosto semplice, dato che basta scaricare l’immagine e cambiarne l’estensione.
Buchanan ha anche fornire il codice sorgente per realizzare quelli che ha definito file tweetable-polyglot-png su GitHub. Il ricercatore ha spiegato che, solitamente, Twitter comprime le immagini e tenta di rimuovere tutti i metadati non essenziali, ma è sufficiente aggiungere ulteriori dati al termine dello stream “DEFLATE” per evitare questo problema.
Spesso tecniche di questo tipo vengono utilizzate da malintenzionati per nascondere comandi dannosi, payload ed altri contenuti potenzialmente pericolosi all’interno di file apparentemente innocui, come le immagini. Proprio per questo motivo, Twitter dovrebbe effettuare diversi controlli aggiuntivi per non permettere simili comportamenti.
Stando a Buchanan, tuttavia, Twitter dovrebbe essere conoscenza di questo bug, tanto che lui stesso aveva segnalato la prima versione del suo exploit, basato ancora su JPEG, al programma "bug bounty" della compagnia e gli era stato risposto che non era un bug di sicurezza e, visto il precedente, ha evitato di informarli nuovamente anche in questa occasione.
Certe volte le cose non sono quello che sembrano. Recentemente vi abbiamo parlato anche di un Ad Blocker che, sebbene apparentemente sembra svolgere il proprio lavoro, in realtà si comporta come un vero e proprio malware. Trovate ulteriori dettagli a riguardo nella nostra precedente notizia.
Avete bisogno di una licenza di Windows 10 Pro per il vostro nuovissimo PC da gaming? Su Amazon è disponibile a pochi euro, non perdetevela.