安全研究人员在一条推文里夹带了莎士比亚的全部作品

摘要:

隐写术是一种在图像中隐藏数据的技术,它并不新鲜。 但是,要将这些图像上传到 Twitter 等服务,同时又要保持数据完好无损,是一件非常棘手的事情。 在发布图片时,Twitter 会删除图片中的大部分元数据,因此很难发布更多数据。

2018-11-01-image-15-j.webp

不过,一位研究人员注意到,Twitter会单独保留一种元数据。 于是,大卫-布坎南(David Buchanan)利用编码上的小聪明,将莎士比亚的全部作品塞进了一张小小的图片中,并将其发布在推文中

这是因为,Twitter 并未触及一种名为 ICC 的特定图像元数据类型。

图片.png

Buchanan 说:"所以基本上,我写了一个脚本,它可以解析 JPG 文件并插入一大团 ICC 元数据。元数据是经过精心设计的,因此所有必要的 ZIP 标头都在正确的位置。"

他指出,这个过程并不完美,需要大量的"摆弄"。 他花了两个小时才把所有压缩数据输入到图片中,恰如其分地说,这是一张低像素的莎士比亚肖像,上面写着"解压缩我"。

"我试着向Twitter的漏洞悬赏计划报告这个技术 但它是#notabug。"

图片.png

布坎南说,他是在试着看看自己能在一条推文中塞进多少原始数据时有了这个想法。

发现推文已成功发布后,布坎南回复了如何提取数据的说明。 追随者们能够确认文件全部完好无损,并包含在古腾堡项目中找到的作品。

他承认这种技术为坏人提供了传播恶意软件的机会,但他说这种用例已经被采用过,只是软件包较小而已。

"[恶意软件传播]已经可以通过更'传统'的隐写技术实现,但这种方法可以让您打包更多的数据。"

布坎南说,他曾试图向 Twitter 申请漏洞赏金,但遭到拒绝。 Twitter 告诉他这不是一个漏洞。他在Twitter上写道:"很公平,但这只意味着我们可以用它来找点乐子。"

隐写术也被用于在社交媒体上秘密传递信息。 一个名为"Secretbook"的浏览器扩展允许用户将带有密码的 140 个字符的信息嵌入图片并上传到 Facebook。 只有拥有密码的人才能提取信息。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。
查看评论
created by ceallan