現在來路不明的網站真的不能亂逛了!在今年度的 Hack In The Box Security Conference 大會上,現場展示了一種全新的駭客技術,只要使用者上網瀏覽網頁,看到特定照片時,電腦就有機會被植入木馬、進而被駭!
只要一張照片,不用下載就有可能讓電腦被駭(圖/彭博)
這個漏洞是由印度公司 Net-Square 的 安全研究員 Saumil Shah 所發現,此一漏洞所採用的概念,被稱為「隱寫術(Steganography)」的技術。這項技術是透過在一般文件下寫入隱密的指令,來偽裝在普通檔案中。其中由於圖像檔案通常有較大的檔案大小,在不影響視覺效果的情況下,省略部分色彩就可以獲得相當足夠的隱密指令寫入空間,進而將這些惡意指令隱藏進去!
利用隱藏在圖片下的指令,透過瀏覽器啟動惡意程式(圖/SyScan)
而利用這項技術的惡意程式被稱為「Stegosploit」,利用修改圖片的代碼,並且加入 Javascript 腳本,接著透過 HTML5 的元素「Canvas」,來開啟圖像顯示,進而使隱藏的惡意程式開始運作!
大型網站圖片上傳前多有檢測,較為安全(圖/彭博)
這個惡意程式有許多用途,其中包含下載和安裝間諜軟體,這就會讓一般用戶的電腦安全遭受威脅。通常大型網站為了確保用戶安全,檔案上傳時都會先自行檢測,避免有不安全的資訊被用戶下載,但來路不明的網站就難說了!為了避免上網看張照片,結果卻讓電腦被綁架,奇怪的網站還是少去吧!
下方有現場解說影片!