Pesquisador alerta que imagens no Twitter podem conter outros arquivos

O pesquisador de segurança David Buchanan descobriu que imagens no Twitter enviadas pelos usuários podem conter outros arquivos, como .zip e .rar.

Pesquisador alerta que imagens no Twitter podem conter outros arquivos

Usando o código em Python criado por ele mesmo, o pesquisador criou uma imagem de William Shakespeare, famoso poeta, dramaturgo e ator inglês, com as palavras “Unzip Me” e a publicou no Twitter:

Mestre Jedi Pesquisador alerta que imagens no Twitter podem conter outros arquivos

Esta imagem .jpg criada por ele também é um arquivo .zip válido que você pode baixar e descompactar seu conteúdo: um arquivo .rar dividido em múltiplas partes contendo textos das peças de Shakespeare.

Buchanan disse que o formato .jpeg é composto por múltiplos segmentos. Um tipo de segmento é reservado para definir um perfil ICC, que é tipicamente usado para coisas como calibração de cor.

Embora muitos dos metadados das imagens no Twitter sejam removidos após o envio, como dados EXIF, os perfis ICC não são removidos. Um perfil ICC pode ter até 16MB, mas os dados precisam ser divididos em porções de 64KB por causa da natureza dos formatos JPEG/ICC.

O pesquisador disse que adicionar outros arquivos neste espaço é possível porque o formato .zip é surpreendentemente flexível. O “diretório central” fica localizado no final do arquivo e aponta para arquivos individuais compactados em outro local do arquivo .zip.

Outro detalhe é que os arquivos .rar divididos dentro do .zip são para contornar o limite de 64KB mencionado acima.

Buchanan disse que esta técnica funciona para imagens hospedadas no serviço Imgur. Outros serviços como Shopify removem completamente os perfis ICC das imagens para manter uma consistência de cores e economizar espaço em seus servidores.

O International Color Consortium (ICC) destaca que embora os perfis ICC não contenham código executável, arquivos malformados podem gerar outros problemas de segurança.

Buchanan disponibilizou seu código-fonte usando a mesma técnica, uma imagem com as palavras “source.pdf.zip.jpg” que pode ser descompactada para revelar um documento em PDF e os arquivos py.

O post Pesquisador alerta que imagens no Twitter podem conter outros arquivos apareceu primeiro em BABOO.

Artigo original:
www.baboo.com.br