Twitter, le semplici immagini possono essere manipolate per nascondere altro: ecco come
Lo sviluppatore e ricercatore David Buchanan ha pubblicato su Twitter vari esempi di immagini PNG manipolate per contenere al loro interno altri tipi di dati potenzialmente pericolosi. Nota con il termine steganografia, la tecnica di inserire contenuti nascosti nelle immagini non è di certo una novità ma su piattaforme social popolose consente ad attori malevoli di pubblicare contenuti illeciti di qualsiasi tipo, sfuggendo ai controlli dei servizi in maniera semplice. Secondo Twitter, però, non si tratta di un bug che può compromettere la sicurezza degli utenti.
Negli esempi pubblicati, Buchanan ha allegato ai suoi post diverse immagini che contengono archivi compressi (ZIP) e addirittura anche file MP3. Se si clicca sui file PNG inseriti sui post, l’utente vede correttamente un’immagine (esplicativa nel caso dei post di Buchanan, ma si possono inserire documenti esterni su immagini innocue e fuorvianti), ma scaricando il PNG sul proprio sistema e rinominando l’estensione è possibile ricavare dai file altri tipi di contenuti.
Twitter, immagini manipolabili con un semplice trucchetto
In uno dei tweet Buchanan ha rilasciato del codice sorgente che consente a chiunque di inserire in un’immagine PNG diversi tipi di contenuti (con un limite massimo di 3MB come dimensioni) totalmente esterni all’immagine che apparentemente viene condivisa sulla piattaforma social. Per chi volesse un approccio ancor più semplificato, lo stesso sviluppatore ha pubblicato una pagina GitHub in cui trovare tutto il necessario per generare quelli che chiama file tweetable-polyglot-png.
Secondo lo sviluppatore Twitter non comprime le immagini pubblicate dagli utenti in alcuni casi specifici, mentre tenta di eliminare tutti i metadati dai file che non sono considerati essenziali per la pubblicazione sul servizio. Quest’ultima manovra impedisce in teoria che vengano condivisi “polyglot file” sul servizio. Buchanam ha tuttavia scoperto un metodo per farlo, allegando i dati da nascondere alla fine del flusso “DEFLATE”, dove sono immagazzinati i dati sui pixel compressi.
I pericoli alla fase delle immagini manipolate su Twitter
Le tecniche come quelle mostrate da Buchanam sono spesso utilizzate da attori malevoli per eseguire comandi o codici malevoli, o altri contenuti all’interno di file che all’apparenza sembrano innocui. Il fatto che Twitter non sempre comprime le immagini o elimina i metadati superflui presenti nei file potrebbe aprire la possibilità ad attori malevoli di sfruttare questa vulnerabilità, anche se lo sviluppatore ammette che in altre implementazioni la steganografia può essere sfruttata in maniera più efficace e meno evidente. Il suo proof-of-concept potrebbe comunque essere sfruttato per portare avanti un efficace sistema di comando e controllo o per altre finalità malevole.
Buchanam non ha riportato direttamente la falla al team di sviluppo della piattaforma di microblogging, dal momento che nel 2018 lo aveva fatto con un proof-of-concept simile basato su file JPG ricevendo come risposta che quello descritto “non è un bug di sicurezza”.
Fonte: http://feeds.hwupgrade.it/