在大多数人的眼中,黑客就是随手敲几行代码就能通过互联网入侵个人计算机的恐怖存在,他们能够将一些神秘的病毒放在一些未知的程序和陌生的网站中,只要你点击进去,黑客们就能控制你的电脑,从而获取他们想得到的信息,即我们常说的电脑中毒。
近年来,随着人们对个人隐私的越来越注重、对网络安全的重视以及杀毒防护软件的更新换代,黑客很难再通过上述方式入侵别人的电脑,然而,他们也并非停步不前,因为一种更加高明的招数将被用于电脑入侵。做好准备,跟小编一起来看看吧。
威锋网 6 月 4 日消息,日前,印度 Net-Square 公司的首席执行官、网络安全专家 Saumil Shah 称自己发现了一种黑客入侵的新方式——通过图片入侵。
他说,通过这个 Bug,黑客们能够将恶意程序代码嵌入一张看起来非常普通的图片中,电脑用户只要打开这张图片看一眼,其电脑就会被入侵,而不再需要运行程序,或者是点击不明网站。
据了解,Saumil Shah 本人花费了几年的时间来研究这种被他命名为 Stegosploit 的隐藏恶意程序,最终被他发现了这个恶意程序的工作原理。
Saumil Shah 告诉我们,黑客之所以可以将 Stegosploit 恶意程序隐藏到 PNG 或 JPG 等常见的图片文件中,是因为一项名为 Steganography 的技术允许电脑用户将某些信息隐藏在图片中。
既然信息可以隐藏,那么程序代码可行吗?考虑到这一问题之后,Saumil Shah 尝试着将代码写入图片的像素里,并通过 html 5 可递交脚本的动态 Canvas 元素将之还原。最终,Saumil Shah 成功发现了这一漏洞。
另外,在说到黑客隐藏这个恶意程序代码的方式时,Saumil Shah 表示,这一恶意程序其实是通过将图片的代码和 Javascript 脚本混合之后的 IMAJS 文件,其本身很难被发现,再加上隐藏在图片里面,电脑用户根本不会想到一张普通的图片就能让他们的电脑沦陷。
需要注意的是,黑客在 JPG 或者 PNG 图片文件中写入的恶意程序可以实现包括下载和安装间谍软件等在内的多项功能。通常,上传到网络上的照片都有一个网络地址,不知情的电脑用户如果在浏览器的地址栏中输入这一网络地址,从按下回车键的那一刻起,你的电脑就会被黑客入侵。
对此,普通的电脑用户不免担心,万一黑客利用这个漏洞损害自己的利益该怎么办?事实上,我们不需要有过多的担心,因为黑客要想通过病毒图片令电脑中招,其前提条件是要将该图片上传至互联网。也就是说,除了一些安全性能较低的网站之外,黑客并不能将这些图片上传到检测相当严格的社交网络上。
Saumil Shah 于上个月 28 日在阿姆斯特丹 HITBSecConf 2015 大会上向外界演示了在图片中写入恶意代码并完成入侵的整个过程,相信这一漏洞会很快被修复。
本文来源:威锋网
来源: |
