如何只用一张图片就能破解电脑
相关标签: # 研究# 数据# 脚本# 恶意软件# 攻击
是的,看起来正常的图像可能会侵入你的电脑;多亏了安全研究人员发现的一项技术沙乌米尔来自印度。
被称为“剑柄“这项技术让黑客将恶意代码隐藏在图像像素内,将恶意软件攻击隐藏在显而易见的地方,从而感染目标受害者。
只要看看这张图片,你就被黑了!
沙阿在一次题为“的演讲中展示了这项技术。”Stegosploit:用图片进行黑客攻击,“他在周四的阿姆斯特丹黑客大会上发表了《盒子里的黑客》。
根据沙阿的说法,“一个好的开发是一种风格的交付。”
考虑到这一点,Shah发现了一种直接将恶意代码隐藏到图像中的方法,而不是将其隐藏在电子邮件附件、PDF或其他类型的文件中,这些文件通常用于传递和传播恶意攻击。
为此,沙阿使用了隐写术— 一种将信息和内容隐藏在数字图形图像中的技术,使信息无法用肉眼看到。
以下是如何通过黑客攻击数字图片来发送恶意攻击:
直到现在,隐写术还被用来秘密地相互通信,通过伪装信息的方式,任何截获通信的人都不会意识到它的真正目的。
恐怖组织也在使用隐写术通过向图像和视频文件发送信息来安全地相互通信,因此NSA官员被迫观看色情和大量色情作品。
然而,在这种情况下,恶意代码或漏洞不是秘密消息,而是在图像像素内编码,然后使用HTML5画布元素它允许动态、可脚本化地呈现图像。
Stegosploit背后的“秘密酱汁”;这就是沙阿所说的。
"我不需要开博客,“沙阿告诉主板,”我根本不需要主持一个网站。我甚至不需要注册域名。我可以(只是)拍摄一张图片,上传到某个地方,如果我把你指向那张图片,然后你把这张图片加载到浏览器中,它就会爆炸。"
这种被称为IMAJS的恶意代码是图像代码和隐藏在JPG或PNG图像文件中的JavaScript的组合。Shah将恶意代码隐藏在图像像素内,除非有人对其进行大量放大,否则图像从外部看起来很好。
视频演示:
Shah向主板的Lorenzo Franceschi演示了他的黑客技术是如何工作的。他使用了弗朗切斯基的个人资料照片,然后用他的照片作为替罪羊准备了一段演示视频。
在第一个视频演示中,Shah展示了如何使用隐写术技术在图像文件中隐藏恶意代码的逐步过程。您可以观看以下视频:
在第二段视频中,沙阿展示了他的剑术是如何工作的。只有当目标在其web浏览器上打开图像文件并单击图片时,他的攻击才会生效。
你被黑了!
单击图像后,系统的CPU使用率将达到100%,这表明该漏洞已成功利用。然后,恶意代码IMAJS将目标计算机的数据发送回攻击者,从而在目标计算机上创建一个文本文件,上面写着:"你被黑了!"
沙阿还对自己的恶意图像进行了编程,以执行更多的秘密任务,比如在受害者的机器上下载和安装间谍软件,以及从受害者的计算机中窃取敏感数据。
这里的底线是:
你不应该再认为这些图像文件是“无辜的”,因为它们可以将恶意代码隐藏在像素深处,从而感染你的计算机。
因此,在点击前一定要确保。
Shah在业余时间从事这项研究已经将近五年了,但他还没有在Dropbox或Imgur等流行的图像共享网站上测试过他的技术。他还承认,他的方法可能并不适用于所有地方。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
