Как стать автором
Обновить

Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы

Время на прочтение 2 мин
Количество просмотров 9.2K
Всего голосов 11: ↑9 и ↓2 +7
Комментарии 17

Комментарии 17

Опять хакер в столовой.
Зачем твиттеру с его-то объёмами медиаконтента перепаковывать даные, если это валидные данные?

(А ещё ведь в PNG можно «спрятать» нижнюю часть изображения, поправив высоту в секции IHDR — будет этакая квадратная картинка с котиком, которая на самом деле прямоугольная и под котиком написано «Трамп козёл!». И это, внезапно, тоже будет валидный PNG)

Что ещё за хакер в столовой?

Иногда, багхантеры доходят до какого-то маразма. Вредоносный можно зашифровать во что угодно, начиная от картинок/гифок с видеозаписями и заканчивая просто плейн текстом на сайте. Абсолютно ничего не стоит злоумышленнику создать пользователя в твиттере, в 5 постов зашифровать вредоносный код и также, как предлагает автор, использовать для эксплоитов. Но ведь это же не будет блокироваться

Тут не «вредоносный код», а один из способов стеганографии. Если бы картинки пережимались, тогда «стего-котикам» было бы труднее.

А дальше зашифруем что-нибудь в exif данные, в информацию о цветовой палитре и тд)
Да и в целом не понимаю, с чего вообще твиттер должны это считать проблемой безопасности. Содержимое картинки не нарушает конфиденциальность пользователя, не выполняет код на серверах твиттера, поэтому заслуженное N/A багхантеру.

Вредоносный можно зашифровать во что угодно, начиная от картинок/гифок с видеозаписями и заканчивая просто плейн текстом на сайте.
Больше того скажем, абсолютно что угодно можно дешифровать во вредоносный код, если иметь соответствующий дешифратор:)
НЛО прилетело и опубликовало эту надпись здесь

Хех, я ещё лет 8 назад подумал, что можно в твиттер закинуть картинки, например 500х500, где в пикселах были бы биты закодированы. И протестировал, что всё загружается и выгружается потом обратно корректно. Даже была идея файловую систему на основе твитов сделать, удаляя старые и постя новые… Но дальше идеи и пары экспериментальных твитов (кажется там бинарник /bin/bash из убунты) дело не ушло: https://twitter.com/Tmin10/status/277752055639183360

Если полиси этого твиттера позволяет сохранять текст — что мешает кодировать в base64 любые данные? Правда, если окажется, что base64 вызывает дискриминацию и ненависть — могут и забанить.

Дык это ж прям старый добрый rarjpeg, только версии 2.0

Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы
Ну всё, ждём «очень любимый» нами Ракомпозор, и его попытки загасить Twitter за педотерроризм.
НЛО прилетело и опубликовало эту надпись здесь

Ужас какой, «вредоносный контент», который надо извлечь специальным скриптом!


Что уж там, можно прямо на картинке написать содержимое «вредоносного контента»! Не напрямую — так стеганографически, вот даже соответствующее вредоносное ПО в открытом доступе лежит!


Да что уж там, представляете, можно поставить ссылку на «вредоносный контент», а можно — вообще ужас — его вообще опубликовать в виде текста твитов, не напрямую так в каком-нибудь base64, чтобы никто, кроме злоумышленников, не догадался!


Более того, так можно сделать не только в твиттере, а вообще везде. Какой ужас этот ваш интернет, запретить срочно.

Тоесть разбив на кучу картинок можно передавать любую информацию, даже с педокотиками, главное клиенту передать клиент который сможет это всё собрать. Но остаётся вопрос, а нафига так сложно? Может конечно тупа для судебного разбирательства, типа я не постил педокотиков, а вполне законные картинки с жопами, а то что из них кто-то собрал непотребство уже сам виноват его и судите.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории