研究人員發(fā)現(xiàn)Twitter托管的圖片可以被濫用來隱藏ZIP和MP3文件

昨天，一位研究人員披露了一種在Twitter圖片中隱藏多達(dá)3MB數(shù)據(jù)的方法。在他的演示中，研究人員展示了包含在Twitter上托管的PNG圖像內(nèi)的MP3音頻文件和ZIP檔案。

雖然在圖像中隱藏非圖像數(shù)據(jù)的藝術(shù)（隱身術(shù)）并不新穎，但由于圖像可以托管在像Twitter這樣的熱門網(wǎng)站上，而且沒有經(jīng)過殺毒，這就為其被惡意行為者濫用提供了可能。昨天，研究員兼程序員大衛(wèi)-布坎南在他的推特上附上了實(shí)例圖片，這些圖片中隱藏著整個(gè)ZIP檔案和MP3文件等數(shù)據(jù)。

雖然Twitter上托管的附件PNG文件在預(yù)覽時(shí)代表了有效的圖像，但僅僅是下載并改變其文件擴(kuò)展名就足以從同一個(gè)文件中獲得不同的內(nèi)容。據(jù)BleepingComputer觀察，該研究者在推特上發(fā)布的6KB圖片包含了整個(gè)ZIP檔案。該ZIP包含了大衛(wèi)-布坎南的源代碼，任何人都可以用它將雜七雜八的內(nèi)容打包成PNG圖片。

對于那些喜歡稍微不動(dòng)手的人來說，研究者還在GitHub上提供了生成他所謂的tweetable-polyglot-png文件的源代碼。在另一個(gè)上傳到Twitter上的例子中，Buchanan在推特上發(fā)布了一張會(huì)唱歌的圖片。下載這個(gè)，重命名為.mp3，在VLC中打開，變成MP3的圖片文件就會(huì)開始播放Rick Astley的《Never Gonna Give You Up》這首歌。大衛(wèi)-布坎南表示，你可以在DEFLATE流(文件中存儲(chǔ)壓縮像素?cái)?shù)據(jù)的部分)的末尾附加數(shù)據(jù)，而Twitter不會(huì)將其剝離。

隱身威脅行為者經(jīng)常利用隱身技術(shù)，因?yàn)樗麄兛梢詫阂饷?、有效載荷和其他內(nèi)容隱藏在圖像等看似普通的文件中。就在昨天，BleepingComputer報(bào)道了一種新的滲透技術(shù)，網(wǎng)絡(luò)犯罪分子利用這種技術(shù)將被盜的信用卡數(shù)據(jù)隱藏在JPG圖片中。正如大衛(wèi)-布坎南所展示的那樣，Twitter可能并不總是將無關(guān)信息從圖片中剝離出來，這一事實(shí)為威脅行為者濫用該平臺提供了空間。