Программист из США Дэвид Бьюкенен доказал, что существует возможность загружать в Twitter картинки и фото, прошедшие модификацию стенографическим способом. Иными словами в данных изображениях есть способ записать до 3 мб информации. Американский исследователь выяснил, что вышеупомянутая соцсеть не вычищает изображения от добавленных в них данных.
Программист Бьюкенен дополнил свои выводы иллюстративным материалом. В предъявленных им изображениях был внедрен ZIP архив, содержащий исходный код и файл в формате МР3. Несмотря на то, что изображения в популярном формате PNG, опубликованные в Twitter, кажутся е более чем простыми картинками, загрузив их и переписав расширение, пользователь получает доступ к заложенному в них дополнительному контенту.
Бьюкенен предлагает всем желающим скачать модифицированное изображение, изменить его расширение на .mp3 и воспроизвести с помощью VLC – и они увидят кое-что любопытное. Но при этом важно удостовериться в том, что пользователь скачал файл в исходном разрешении 2048х2048р, подчеркивает Бьюкенен.
Картинка, опубликованная в Twitter, «весит» 2,5 мб и в нее добавлена музыкальная аудиозапись.
Кроме того, программист выложил на GitHub исходный код, с помощью которого любой желающий может заняться созданием такого рода «заряженных» изображений.
Исследователь напоминает, что, как правило, в Twitter происходит сжатие графических файлов, но это делается не всегда. Кроме того, эта соцсеть стремится вычищать любые ненужные метаданные, чтобы заблокировать работу polyglot-файлов. Но ему удалось отыскать любопытную возможность: пользователь имеет возможность размещать данные в завершающую часть DEFLATE-потока (именно там размещаются сжатая информация о пикселях), и соцсеть не удалит эти данные, утверждает Бьюкенен.
Поскольку Twitter не гарантирует удаление сторонних данных из изображений, недобросовестные пользователи получили новые инструменты для вредоносных действий.
Бьюкенен сообщил, что попытался оповестить представителей Twitter о схожей уязвимости изображений JPEG, но получил ответ, что она не влияет на безопасность. По этой причине исследователь не стал информировать разработчиков о схожей уязвимости PNG.