中國有句老話:「你有張良計,我有過牆梯。」在如今,網絡安全環境越來越被人們所重視,駭客們也在想更高的招數來入侵你的電腦。
根據《雷鋒網》的消息,印度 Net-Square 公司 CEO、網絡安全專家 Saumil Shah 最近發現了一個惡意程式的 BUG:駭客們可以把惡意程式寫到一張普通的圖片文件裡,人們只要打開看一眼這張看似普通的圖片,電腦就會被駭。
Saumil Shah 把這種隱藏惡意程式命名為 Stegosploit。那麼這個程式的原理是什麼呢?
Saumil Shah 介紹說該 BUG 來源於是一種 Steganography 技術,這種技術可以把訊息隱藏到圖片中,Saumil Shah 利用這種概念,把代碼寫進圖片像素,然後通過 HTML5 的可遞交腳本的動態 Canvas 元素還原。
這個惡意代碼本質是圖片的代碼和 Javascript 腳本的混合,被稱之為 IMAJS。駭客可以把代碼寫進 JPG 或者 PNG 格式的圖片中,除非把圖片放大仔細查看,否者一般情況下,肉眼很難發現圖片有問題。
駭客在圖片中寫了惡意程式,這個程式可以設計很多功能,比如下載和安裝間諜軟體等。然後把圖片上傳到網上,並把地址告訴你,當你在瀏覽器中查看這張圖片的時候,惡意程式就會被觸發,你的電腦就有可能被駭。
也就是說,如果駭客懂得利用了這個漏洞,那麼在以後的日子裡,圖片文件對我們來說已經不可信任了。
不過這種代碼也不是百分百能讓你中招,他只能作用於一些安全性較弱的瀏覽器或網站,並且這種帶有惡意程式的圖片不會出現在社交網站上,因為像 Facebook 等大社交網站,在上傳圖片的時候網站都會對其進行檢測,如有問題,則不能上傳。
在 2015 HITBSecConf 大會上 Saumil Shah 曾為大家演示了如何在圖片上寫程式並攻擊個人電腦的方法,目前看來這只是一個漏洞,應該很快就會被修復。
影片如下:
[youtube]https://www.youtube.com/watch?v=O9vSSQIZPlI&feature=youtu.be[/youtube]
- 延伸閱讀
(本文轉載自合作夥伴《雷鋒網》;未經授權,不得轉載)
