DESCUBREN UNA TÉCNICA PARA INFECTAR UN ORDENADOR USANDO SÓLO UNA IMAGEN
La próxima vez que alguien te envíe la fotografía de un gatito, piénsalo dos veces antes de pinchar en la imagen para abrirla: podría infectar tu ordenador.
Se trata de una técnica descubierta por el investigador de seguridad Saumil Shal, que permitiría a un atacante esconder código malicioso dentro de los píxeles de una imagen. Es decir, podrían infectarnos simplemente si vemos la imagen en el navegador, sin necesidad de descargarla.
Esta técnica que han llamado “stegosploit”, permitiría a un atacante esconder un exploit dentro de los píxeles de una imagen. Shah descubrió una forma de esconder el código malicioso directamente en una imagen, en lugar de esconderlo en adjuntos descargables de correos electrónicos, como PDF, .doc, u otros archivos que se usan habitualmente para difundir exploits maliciosos.
Para ello, usó la esteganografía, una técnica que permite esconder contenidos y mensajes en una imagen gráfica, haciendo que sean imposibles de detectar por el ojo humano. El código malicioso es una combinación de código y JavaScript escondido en un a imagen JPG o PNG. A no ser que alguien haga zoom sobre ella, a primera vista parece totalmente normal.
El investigador dio a conocer sus descubrimientos durante la conferencia Hack in the Box que ha tenido lugar en Amsterdam esta semana, según informa The Hacker News.
You are hacked!
La esteganografía no es algo nuevo, se trata de técnicas que permiten ocultar mensajes dentro de otros. Hasta ahora se usaba en comunicaciones secretas, para evitar que se conociera el contenido de un mensaje si la comunicación era interceptada. Pero durante los últimos años ha tenido mucho interés precisamente en el sector de la seguridad informática, siendo usada por distintas organizaciones criminales. No debe confundirse con criptografía, ya que esta se usa para codificar información para que sea ininteligible para personas no deseadas, a pesar de que se conozca que existe tal información. En el caso de la esteganografía, el hecho de su simple existencia pasa inadvertido.
En este caso concreto, en lugar de esconder un mensaje secreto, el investigador ha sido capaz de codificar un código malicioso o exploit dentro de los píxeles de la imagen, que se puede ver cuando es decodificado usando un elemento canvas de HTML 5 que permite el procesado dinámico y programable de imágenes.
“Ya no necesito publicar un blog, una web, registrar un dominio… Simplemente puedo coger una imagen, y subirla a cualquier sitio. Si consigo que cargues esa imagen en tu navegador, estás hackeado”.
En estos vídeos el investigador explica cómo funciona la técnica: