Un error de Twitter permite compartir archivos maliciosos
Un programador descubrió una vulnerabilidad en Twitter que permite utilizar la técnica de la esteganografía para ocultar archivos y códigos en lo que aparenta ser una imagen.
El investigador David Buchanan publicó un hilo en la red social, en el que demostró cómo era posible subir imágenes con líneas de texto y códigos ocultos que no son detectados por los sistemas de seguridad de Twitter.
En dos experimentos, Buchanan publicó imágenes con formato PNG. Cuando los archivos eran descargados en una computadora, podían ser renombrados como archivos ZIP o MP3 completamente funcionales.
Aunque Twitter tiene un mecanismo para comprimir imágenes y eliminar metadatos innecesarios, el investigador descubrió una fórmula para evitar que esto ocurra.
I found a way to stuff up to ~3MB of data inside a PNG file on twitter. This is even better than my previous JPEG ICC technique, since the inserted data is contiguous.
The source code is available in the ZIP/PNG file attached: pic.twitter.com/zEOl2zJYRC
— Dаvіd Вucһаnаn (@David3141593) March 17, 2021
“Twitter comprime imágenes, la mayor parte del tiempo, pero hay algunos escenarios en los que no lo hace. Intenta eliminar cualquier que no sea esencial, por lo que cualquier técnica existente de ‘archivo políglota’ no funcionaría”, explicó Buchanan.
La esteganografía es una técnica que permite ocultar información dentro de archivos multimedia, como imágenes, audio o video. Es una práctica usada por piratas informáticos para vulnerar los cortafuegos y otros sistemas de seguridad.
Aunque es una práctica conocida, se trata de la primera vez que se explica de forma pública cómo usar el mecanismo de esteganografía con las imágenes de la red social, según Bleeping Computer (vía Xataka).
El hallazgo deja en evidencia una vulnerabilidad de Twitter, que podría ser aprovechada por los piratas informáticos para esconder códigos maliciosos en imágenes o videos.
El investigador publicó en Github el código abierto de los archivos PNG, si algún usuario desea replicar le experimento.
Recomendaciones del editor