研究人員發(fā)現(xiàn)Twitter托管的圖片可以被濫用來隱藏ZIP和MP3文件

昨天，一位研究人員披露了一種在Twitter圖片中隱藏多達3MB數(shù)據(jù)的方法。在他的演示中，研究人員展示了包含在Twitter上托管的PNG圖像內(nèi)的MP3音頻文件和ZIP檔案。

雖然在圖像中隱藏非圖像數(shù)據(jù)的藝術（隱身術）并不新穎，但由于圖像可以托管在像Twitter這樣的熱門網(wǎng)站上，而且沒有經(jīng)過殺毒，這就為其被惡意行為者濫用提供了可能。昨天，研究員兼程序員大衛(wèi)-布坎南在他的推特上附上了實例圖片，這些圖片中隱藏著整個ZIP檔案和MP3文件等數(shù)據(jù)。

雖然Twitter上托管的附件PNG文件在預覽時代表了有效的圖像，但僅僅是下載并改變其文件擴展名就足以從同一個文件中獲得不同的內(nèi)容。據(jù)BleepingComputer觀察，該研究者在推特上發(fā)布的6KB圖片包含了整個ZIP檔案。該ZIP包含了大衛(wèi)-布坎南的源代碼，任何人都可以用它將雜七雜八的內(nèi)容打包成PNG圖片。

對于那些喜歡稍微不動手的人來說，研究者還在GitHub上提供了生成他所謂的tweetable-polyglot-png文件的源代碼。在另一個上傳到Twitter上的例子中，Buchanan在推特上發(fā)布了一張會唱歌的圖片。下載這個，重命名為.mp3，在VLC中打開，變成MP3的圖片文件就會開始播放Rick Astley的《Never Gonna Give You Up》這首歌。大衛(wèi)-布坎南表示，你可以在DEFLATE流(文件中存儲壓縮像素數(shù)據(jù)的部分)的末尾附加數(shù)據(jù)，而Twitter不會將其剝離。

隱身威脅行為者經(jīng)常利用隱身技術，因為他們可以將惡意命令、有效載荷和其他內(nèi)容隱藏在圖像等看似普通的文件中。就在昨天，BleepingComputer報道了一種新的滲透技術，網(wǎng)絡犯罪分子利用這種技術將被盜的信用卡數(shù)據(jù)隱藏在JPG圖片中。正如大衛(wèi)-布坎南所展示的那樣，Twitter可能并不總是將無關信息從圖片中剝離出來，這一事實為威脅行為者濫用該平臺提供了空間。