Se o senhor acompanha este blog, sabe que sou obcecado por descobrir todas as formas de interagir, abusar e converter diferentes tipos de mídia. Quer se trate de imagens, vídeo ou áudio, se algo puder ser alterado ou explorado, quero descobrir como fazer isso.
Lembro-me de ter lido no passado sobre como as imagens podiam ser usadas para transmitir informações “secretas” ou até mesmo instalar vírus, ao mesmo tempo em que eram exibidas como imagens adequadas nos navegadores; esse processo é chamado de esteganografia. Eu queria descobrir como o senhor poderia explorar uma imagem para, no mínimo, conter informações não visíveis para o usuário. Vamos dar uma olhada em alguns métodos diferentes!
Adição de dados EXIF
Sem o conhecimento da maioria dos usuários que compartilham fotos, essas imagens têm dados anexados a elas que o fotógrafo não percebe: latitude e longitude, dispositivo e muitas outras informações. Somente por esse motivo, escrevi Obter e remover dados EXIF, uma publicação que todos os serviços que permitem uploads de imagens deveriam ler, simplesmente para manter a privacidade dos usuários.
O senhor pode configurar os dados EXIF em uma imagem para transmitir informações duvidosas:
# Put information in the EXIF exiftool -artist=MY_SEMI_SECRET_DATA walshcoin.gif # Retrieve the new info from the EXIF exiftool walshcoin.gif
A imagem é exibida exatamente como antes, mas passa informações invisíveis para o usuário!
Concatenação de arquivos ZIP e imagens
Esse método é o mais assustador dos dois que vou ilustrar. Na verdade, é possível concatenar um GIF animado e um arquivo ZIP e a imagem será exibida enquanto o senhor também pode descompactar o GIF!
# Concatenate a legit GIF with a secret ZIP file! $ cat bitcoin.gif >> bitcoinsecret.gif $ cat secret.txt.zip >> bitcoinsecret.gif # When you unzip the file, the secret file is there! $ unzip bitcoinsecret.gif
É incrível que o senhor possa concatenar uma imagem e um arquivo ZIP e que o resultado seja extraível e exibido corretamente em um navegador!
Os métodos que ilustrei na postagem são incrivelmente simples. É provável que existam muitas outras maneiras duvidosas de explorar imagens de modo que o usuário comum não saiba que elas são vulneráveis. A facilidade com que o senhor pode adicionar informações arbitrárias a uma imagem deve ser inquietante: as imagens, pelo seu valor nominal, não mostram sinais de modificação, mas a verdade é que elas podem contar uma história diferente para alguém que esteja procurando por essas informações!
