印度研究人員發(fā)現(xiàn)利用圖片攻擊電腦的新方式
責(zé)編:mhshi |2015-06-04 14:32:55印度Net-Square公司CEO和網(wǎng)絡(luò)安全專家Saumil Shah發(fā)現(xiàn)了一種新的黑客攻擊模式,黑客把惡意程序?qū)懙揭粡埰胀ǖ膱D片文件里,人們只要打開看一眼這張看似普通的圖片,電腦就會(huì)被黑客攻擊。
Saumil Shah把這種惡意程序命名為“Stegosploit”。“Stegosploit” 這個(gè)名字的靈感來自隱寫術(shù)(Steganography),隱寫術(shù)可以隱瞞信息隱藏到圖片中。Saumil?Shah利用Steganography成功地把惡意JavaScript代碼寫進(jìn)JPG或者PNG圖片中,然后通過html5的可遞交腳本的動(dòng)態(tài)Canvas元素還原。?
這個(gè)惡意代碼本質(zhì)是圖片的代碼和Javascript腳本的混合,被稱之為IMAJS。黑客可以把代碼寫進(jìn)JPG或者PNG格式的圖片中,除非把圖片放大仔細(xì)查看,否者一般情況下,肉眼很難發(fā)現(xiàn)圖片有問題。
黑客在圖片中寫了惡意程序,這個(gè)程序可以設(shè)計(jì)很多功能,比如下載和安裝間諜軟件等。然后把圖片上傳到網(wǎng)上,并把地址告訴你,當(dāng)你在瀏覽器中查看這張圖片的時(shí)候,惡意程序就會(huì)被觸發(fā),你的電腦就有可能被黑。
也就是說,如果這個(gè)漏洞被利用,那么在以后的日子里,圖片文件對(duì)我們來說已經(jīng)不可信任了。
不過這種代碼也不是百分百能讓你中招,他只能作用于一些安全性較弱的瀏覽器或網(wǎng)站,并且這種帶有惡意程序的圖片不會(huì)出現(xiàn)在社交網(wǎng)站上,因?yàn)橄馞acebook等大社交網(wǎng)站,在上傳圖片的時(shí)候網(wǎng)站都會(huì)對(duì)其進(jìn)行檢測(cè),如有問題,則不能上傳。
5月28日,在2015?HITBSecConf?大會(huì)上Saumil?Shah為大家演示了如何在圖片中嵌入惡意程序并攻擊個(gè)人電腦的方法,目前看來這只是一個(gè)漏洞,應(yīng)該很快就會(huì)被修復(fù)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧