Twitter, le semplici immagini possono essere manipolate per nascondere altro: ecco come

Twitter, le semplici immagini possono essere manipolate per nascondere altro: ecco come

Con un semplice trucco è possibile inserire qualsiasi tipo di codice all'interno dei file PNG condivisi via Twitter. Secondo il team di sviluppo, però, questo aspetto non può essere considerato un bug di vulnerabilità

di pubblicata il , alle 19:41 nel canale Web
Twitter
 

Lo sviluppatore e ricercatore David Buchanan ha pubblicato su Twitter vari esempi di immagini PNG manipolate per contenere al loro interno altri tipi di dati potenzialmente pericolosi. Nota con il termine steganografia, la tecnica di inserire contenuti nascosti nelle immagini non è di certo una novità ma su piattaforme social popolose consente ad attori malevoli di pubblicare contenuti illeciti di qualsiasi tipo, sfuggendo ai controlli dei servizi in maniera semplice. Secondo Twitter, però, non si tratta di un bug che può compromettere la sicurezza degli utenti.

Negli esempi pubblicati, Buchanan ha allegato ai suoi post diverse immagini che contengono archivi compressi (ZIP) e addirittura anche file MP3. Se si clicca sui file PNG inseriti sui post, l'utente vede correttamente un'immagine (esplicativa nel caso dei post di Buchanan, ma si possono inserire documenti esterni su immagini innocue e fuorvianti), ma scaricando il PNG sul proprio sistema e rinominando l'estensione è possibile ricavare dai file altri tipi di contenuti.

Twitter, immagini manipolabili con un semplice trucchetto

In uno dei tweet Buchanan ha rilasciato del codice sorgente che consente a chiunque di inserire in un'immagine PNG diversi tipi di contenuti (con un limite massimo di 3MB come dimensioni) totalmente esterni all'immagine che apparentemente viene condivisa sulla piattaforma social. Per chi volesse un approccio ancor più semplificato, lo stesso sviluppatore ha pubblicato una pagina GitHub in cui trovare tutto il necessario per generare quelli che chiama file tweetable-polyglot-png.

Secondo lo sviluppatore Twitter non comprime le immagini pubblicate dagli utenti in alcuni casi specifici, mentre tenta di eliminare tutti i metadati dai file che non sono considerati essenziali per la pubblicazione sul servizio. Quest'ultima manovra impedisce in teoria che vengano condivisi "polyglot file" sul servizio. Buchanam ha tuttavia scoperto un metodo per farlo, allegando i dati da nascondere alla fine del flusso "DEFLATE", dove sono immagazzinati i dati sui pixel compressi.

I pericoli alla fase delle immagini manipolate su Twitter

Le tecniche come quelle mostrate da Buchanam sono spesso utilizzate da attori malevoli per eseguire comandi o codici malevoli, o altri contenuti all'interno di file che all'apparenza sembrano innocui. Il fatto che Twitter non sempre comprime le immagini o elimina i metadati superflui presenti nei file potrebbe aprire la possibilità ad attori malevoli di sfruttare questa vulnerabilità, anche se lo sviluppatore ammette che in altre implementazioni la steganografia può essere sfruttata in maniera più efficace e meno evidente. Il suo proof-of-concept potrebbe comunque essere sfruttato per portare avanti un efficace sistema di comando e controllo o per altre finalità malevole.

Buchanam non ha riportato direttamente la falla al team di sviluppo della piattaforma di microblogging, dal momento che nel 2018 lo aveva fatto con un proof-of-concept simile basato su file JPG ricevendo come risposta che quello descritto "non è un bug di sicurezza".

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^