Ne, tenhle obrázek opravdu nemůže hacknout váš počítač
Stegosploit není žádný exploit, který by zneužíval nějakou kritickou zero-day zranitelnost v kódu starající se o zobrazování obrázků v prohlížeči, tak jako tomu bylo v tomto případě, nýbrž je to jen obfuskovaný javascript ukrytý v obrázku pomocí steganografie a zneužívající skutečnosti, že obsah souboru lze interpretovat jako skript stejně jako obrázek.
Saumil Shah tuto svou techniku skrývání javascriptu do obrázků a možnost jejich následného spuštění v prohlížeči, kterou prezentoval na nedávné Hack In The Box konferenci v Amsterdamu, pojmenoval Stegosploit. Pokud jste se této prezentace osobně nezúčastnili, tak ji můžete shlédnout zde, případně se podívat na první a druhou část anebo si alespoň prohlédnout slidy.
Je s podivem, že The Hacker News, SecurityAffairs a další weby neváhaly označit tuto techniku za budoucnost on-line útoků a tuto informaci pak začaly obratem přebírat i ostatní média, která ji prezentovali jako vážnou hrozbu a uváděli ji bombastickými titulky, jako „Obrázek, který hackne váš počítač“ apod.
Nemohu se ubránit dojmu, že tento humbuk tak trochu rozpoutal i sám Saumil svým prohlášením, vystupováním a způsobem prezentace, ale to není až tak podstatné. Důležité je, že vše je trochu jinak a o žádnou kritickou zranitelnost se vůbec nejedná.
Když se podíváme na Saumilův zdrojový HTML kód, tak zjistíme, že daný obrázek ukrývající v sobě škodlivý kód je načten párovým tagem script, takže je celkem logické, že se daný kód spustí, a když je tentýž obrázek načten pomocí tagu img, tak se zase normálně zobrazí.
Štítky: malware, zranitelnosti
K článku “Ne, tenhle obrázek opravdu nemůže hacknout váš počítač” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.