• IT-Karriere:
  • Services:

PNG: Sicherheitsforscher versteckt MP3 und Zip in Twitter-Bildern

Eigentlich entfernen Dienste wie Twitter Zusatzinformationen aus Sicherheitsgründen aus Bildern. Ein neuer Angriff umgeht dies jedoch.

Artikel veröffentlicht am ,
Wenn plötzlich ein Archiv im Bild versteckt ist, läuft etwas nicht ganz so, wie es soll.
Wenn plötzlich ein Archiv im Bild versteckt ist, läuft etwas nicht ganz so, wie es soll. (Bild: Pixabay)

Dem Sicherheitsforscher David Buchanan ist eine neue Art Angriff mit den Methoden der sogenannten Steganographie gelungen. Dabei werden eigentlich nicht vorgesehene Informationen in anderen Dateien versteckt. Zur Demonstration des konkreten Angriffs hat Buchanan auf seinem Twitter-Account mehrere Bilder als PNG-Dateien veröffentlicht, die zusätzlich zu dem Bild weitere Dateien enthalten, ohne dass dies direkt ersichtlich ist.

Stellenmarkt
  1. J.M. Voith SE & Co. KG, Heidenheim
  2. Volkswagen Vertriebsbetreuungsgesellschaft mbH, Berlin, Wolfsburg

Als Begründung für seine Arbeiten schreibt Buchanan in der Erklärung zum Code auf Github einfach nur: "Weiß nicht". Und tatsächlich werden derartige Angriffe inzwischen kaum noch praktisch verwendet, könnten aber unter anderem dazu genutzt werden, Malware auf angegriffenen Systemen zu verstecken.

Auch wegen weiterer Schwierigkeiten und Sicherheitsbedenken mit Metadaten und Zusatzinformationen, die in Dateien versteckt werden können, säubern Dienste wie Twitter solche Uploads eigentlich, bevor sie tatsächlich veröffentlicht werden. Diese Mechanismen konnte Buchanan nun aber erfolgreich umgehen.

Auf Twitter hat Buchanan ein Bild veröffentlicht, auf dem steht: "Speichere dieses Bild und ändere die Erweiterung zu .zip". In dem als Bild getarnten Archiv findet sich dann der genutzte Quellcode samt Erklärung. Ein weiteres Bild lässt sich "für eine Überraschung" als MP3-Datei speichern und dann im VLC-Player abspielen, so Buchanan.

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Der Erklärung zufolge ist es dem Forscher gelungen, die Methoden von Twitter zu umgehen, da angehängte Informationen an den IDAT-Chunks in PNGs nicht entfernt werden. In dem IDAT Chunk werden in PNGs die eigentlichen Bildinhalte gespeichert. Laut Buchanan lassen sich so bis zu 3 MByte in den Bildern verstecken. Das liege jedoch nur daran, dass größere PNG-Bilder von Twitter automatisch in JPEGs konvertiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 59€ (Bestpreis)
  2. 1.099€ (Bestpreis)
  3. (u. a. Super Seducer 3 - Uncensored Edition für 10,79€, Total War: Rome - Remastered für 26...
  4. 399,99€

purerzufall 22. Mär 2021 / Themenstart

Nichtmal ein Bug. Eher eine Nachlässigkeit seitens Twitter. pz

Naseweisz 21. Mär 2021 / Themenstart

Der Unterschied ist recht simpel - ich würde dir sehr gerne den entsprechenden Tweet...

Gogol 21. Mär 2021 / Themenstart

Wenn Konvertieren Umwandeln bedeutet, heißt umkonvertieren dann umumwandeln?

dsafsdf 20. Mär 2021 / Themenstart

Ach so, ja dann...

Kommentieren


Folgen Sie uns
       


Der Konsolen-PC - Fazit

Seit es AMDs RDNA-2-Grafikkarten gibt, kann eine Next-Gen-Konsole leicht nachgebaut werden. Wir schauen, was es dazu braucht und ob der Konsolen-PC etwas taugt.

Der Konsolen-PC - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /