PNG: Sicherheitsforscher versteckt MP3 und Zip in Twitter-Bildern

Eigentlich entfernen Dienste wie Twitter Zusatzinformationen aus Sicherheitsgründen aus Bildern. Ein neuer Angriff umgeht dies jedoch.

Artikel veröffentlicht am ,
Wenn plötzlich ein Archiv im Bild versteckt ist, läuft etwas nicht ganz so, wie es soll.
Wenn plötzlich ein Archiv im Bild versteckt ist, läuft etwas nicht ganz so, wie es soll. (Bild: Pixabay)

Dem Sicherheitsforscher David Buchanan ist eine neue Art Angriff mit den Methoden der sogenannten Steganographie gelungen. Dabei werden eigentlich nicht vorgesehene Informationen in anderen Dateien versteckt. Zur Demonstration des konkreten Angriffs hat Buchanan auf seinem Twitter-Account mehrere Bilder als PNG-Dateien veröffentlicht, die zusätzlich zu dem Bild weitere Dateien enthalten, ohne dass dies direkt ersichtlich ist.

Stellenmarkt
  1. Full Stack Software Developer (m/f/d)
    Lufthansa Technik AG, Hamburg
  2. Product Owner Microsoft Dynamics NAV (m/f/d)
    Autodoc AG, Berlin, Moldawien, Ukraine, Polen, Tschechische Republik (Home-Office)
Detailsuche

Als Begründung für seine Arbeiten schreibt Buchanan in der Erklärung zum Code auf Github einfach nur: "Weiß nicht". Und tatsächlich werden derartige Angriffe inzwischen kaum noch praktisch verwendet, könnten aber unter anderem dazu genutzt werden, Malware auf angegriffenen Systemen zu verstecken.

Auch wegen weiterer Schwierigkeiten und Sicherheitsbedenken mit Metadaten und Zusatzinformationen, die in Dateien versteckt werden können, säubern Dienste wie Twitter solche Uploads eigentlich, bevor sie tatsächlich veröffentlicht werden. Diese Mechanismen konnte Buchanan nun aber erfolgreich umgehen.

Auf Twitter hat Buchanan ein Bild veröffentlicht, auf dem steht: "Speichere dieses Bild und ändere die Erweiterung zu .zip". In dem als Bild getarnten Archiv findet sich dann der genutzte Quellcode samt Erklärung. Ein weiteres Bild lässt sich "für eine Überraschung" als MP3-Datei speichern und dann im VLC-Player abspielen, so Buchanan.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Der Erklärung zufolge ist es dem Forscher gelungen, die Methoden von Twitter zu umgehen, da angehängte Informationen an den IDAT-Chunks in PNGs nicht entfernt werden. In dem IDAT Chunk werden in PNGs die eigentlichen Bildinhalte gespeichert. Laut Buchanan lassen sich so bis zu 3 MByte in den Bildern verstecken. Das liege jedoch nur daran, dass größere PNG-Bilder von Twitter automatisch in JPEGs konvertiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /