印度研究人員發現利用圖片攻擊電腦的新方式
責編:mhshi |2015-06-04 14:32:55印度Net-Square公司CEO和網絡安全專家Saumil Shah發現了一種新的黑客攻擊模式,黑客把惡意程序寫到一張普通的圖片文件里,人們只要打開看一眼這張看似普通的圖片,電腦就會被黑客攻擊。
Saumil Shah把這種惡意程序命名為“Stegosploit”。“Stegosploit” 這個名字的靈感來自隱寫術(Steganography),隱寫術可以隱瞞信息隱藏到圖片中。Saumil?Shah利用Steganography成功地把惡意JavaScript代碼寫進JPG或者PNG圖片中,然后通過html5的可遞交腳本的動態Canvas元素還原。?
這個惡意代碼本質是圖片的代碼和Javascript腳本的混合,被稱之為IMAJS。黑客可以把代碼寫進JPG或者PNG格式的圖片中,除非把圖片放大仔細查看,否者一般情況下,肉眼很難發現圖片有問題。
黑客在圖片中寫了惡意程序,這個程序可以設計很多功能,比如下載和安裝間諜軟件等。然后把圖片上傳到網上,并把地址告訴你,當你在瀏覽器中查看這張圖片的時候,惡意程序就會被觸發,你的電腦就有可能被黑。
也就是說,如果這個漏洞被利用,那么在以后的日子里,圖片文件對我們來說已經不可信任了。
不過這種代碼也不是百分百能讓你中招,他只能作用于一些安全性較弱的瀏覽器或網站,并且這種帶有惡意程序的圖片不會出現在社交網站上,因為像Facebook等大社交網站,在上傳圖片的時候網站都會對其進行檢測,如有問題,則不能上傳。
5月28日,在2015?HITBSecConf?大會上Saumil?Shah為大家演示了如何在圖片中嵌入惡意程序并攻擊個人電腦的方法,目前看來這只是一個漏洞,應該很快就會被修復。