PNG: Sicherheitsforscher versteckt MP3 und Zip in Twitter-Bildern
Eigentlich entfernen Dienste wie Twitter Zusatzinformationen aus Sicherheitsgründen aus Bildern. Ein neuer Angriff umgeht dies jedoch.

Dem Sicherheitsforscher David Buchanan ist eine neue Art Angriff mit den Methoden der sogenannten Steganographie gelungen. Dabei werden eigentlich nicht vorgesehene Informationen in anderen Dateien versteckt. Zur Demonstration des konkreten Angriffs hat Buchanan auf seinem Twitter-Account mehrere Bilder als PNG-Dateien veröffentlicht, die zusätzlich zu dem Bild weitere Dateien enthalten, ohne dass dies direkt ersichtlich ist.
Als Begründung für seine Arbeiten schreibt Buchanan in der Erklärung zum Code auf Github einfach nur: "Weiß nicht". Und tatsächlich werden derartige Angriffe inzwischen kaum noch praktisch verwendet, könnten aber unter anderem dazu genutzt werden, Malware auf angegriffenen Systemen zu verstecken.
Auch wegen weiterer Schwierigkeiten und Sicherheitsbedenken mit Metadaten und Zusatzinformationen, die in Dateien versteckt werden können, säubern Dienste wie Twitter solche Uploads eigentlich, bevor sie tatsächlich veröffentlicht werden. Diese Mechanismen konnte Buchanan nun aber erfolgreich umgehen.
Auf Twitter hat Buchanan ein Bild veröffentlicht, auf dem steht: "Speichere dieses Bild und ändere die Erweiterung zu .zip". In dem als Bild getarnten Archiv findet sich dann der genutzte Quellcode samt Erklärung. Ein weiteres Bild lässt sich "für eine Überraschung" als MP3-Datei speichern und dann im VLC-Player abspielen, so Buchanan.
Der Erklärung zufolge ist es dem Forscher gelungen, die Methoden von Twitter zu umgehen, da angehängte Informationen an den IDAT-Chunks in PNGs nicht entfernt werden. In dem IDAT Chunk werden in PNGs die eigentlichen Bildinhalte gespeichert. Laut Buchanan lassen sich so bis zu 3 MByte in den Bildern verstecken. Das liege jedoch nur daran, dass größere PNG-Bilder von Twitter automatisch in JPEGs konvertiert werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Nichtmal ein Bug. Eher eine Nachlässigkeit seitens Twitter. pz
Der Unterschied ist recht simpel - ich würde dir sehr gerne den entsprechenden Tweet...
Wenn Konvertieren Umwandeln bedeutet, heißt umkonvertieren dann umumwandeln?
Ach so, ja dann...
Kommentieren