Miguel López
Hace años, éramos temerosos de los programas de Windows que podían contener un virus y borrar nuestro disco duro. Hoy tenemos que vigilar las webs por las que navegamos, ya que pueden contener phishing y malware. ¿Y si en el futuro tuviéramos que vigilar incluso las imágenes que cargásemos en el navegador? De momento ya no se quede como algo imposible, porque desde Motherboard ya nos explican cómo se puede ocultar contenido malicioso dentro de una imagen.
Eso es posible mediante una herramienta llamada Stegosploit, con la que podemos ocultar código dentro de un archivo de imagen aprovechando el elemento Canvas del estándar HTML5. Dicho elemento es capaz de renderizar imágenes y figuras a partir de un script. Y la fotografía, a menos que amplíes mucho su zoom, parece completamente inofensiva a simple vista.
En esta demostración, de apenas ocho minutos, podemos ver cómo se coge una imagen y se convierte en el caballo de troya para que un hacker tenga acceso al ordenador de otra persona sin problemas:
La técnica sólo funciona si abrimos la imagen desde un navegador, ya que hay que aprovechar el motor HTML que lleva. Si abrimos la imagen desde cualquier otro programa (Visor de imágenes, Photoshop...) no ocurre absolutamente nada. Pero el problema sigue ahí: cualquier experto podría utilizar este método para instalar aplicaciones como spyware o adware en nuestros sistemas.
Un simple tuit que enlace a una imagen manipulada puede ser una arma muy potente para engañar a incautos
La buena noticia es que, como todas las vulnerabilidades de seguridad, esto es un problema que se podrá resolver en cuanto los navegadores se actualicen con algún parche. También habría que ver si estas imágenes "infectadas" pasan las rutinas de seguridad de servicios como Dropbox, que permiten almacenar y compartir imágenes.
Pero aún así es tan simple como temible: estamos ante un nuevo frente por el que poder atacar a usuarios incautos. Tan fácil como tuitear algún mensaje que llame la atención junto a un enlace a la imagen y listo, ya somos víctimas. No hace falta hacer nada más que abrir la imagen, ni siquiera hay que guardarla en el ordenador para que el exploit funcione. Esperemos que haya modos efectivos de frenar esta vulnerabilidad.
En Genbeta | Google cree tener la extensión definitiva contra el phishing en sus propios servicios
Ver 13 comentarios
13 comentarios
Usuario desactivado
como el artículo me resultaba difícil de creer me he pasado por el artículo original en inglés para ver más detalles sobre cómo funciona realmente el exploit.
sin embargo el artículo original tampoco lo detalla, dice que en la imagen se ofusca código javascript, y que este código puede hacer cosas maliciosas pero ¿y cómo es que el navegador ejecuta ese código? que yo sepa el navegador no se dedica a buscar código en las imágenes y ejecutarlo...
pues bien, resulta que efectivamente es un pufo, este tipo de ataques no son posibles. los navegadores no ejecutan javascript salvo en etiquetas <script>. aquí hay un artículo que explica por qué esta vulnerabilidad es mentira: https://medium.com/@christianbundy/why-stegosploit-isn-t-an-exploit-189b0b5261eb
esto es un blog de tecnología, habría que ser más crítico con este tipo de contenidos, por generar alarma de manera infundada y por la calidad del propio blog.
puede que como material de investigación sea interesante, pero de ahí a hablar de parchear navegadores va un trecho largo.
Usuario desactivado
Lo veo en CSI:
-¿Puedes ampliar esa imagen?
-Claro.
-Mejórala.
-Hecho... espera un mom... ¡oh no, es una trampa! ¡¡Está infectando nuestra base de datos!!
-¡Rápido, instala una interfaz gráfica en Visual Basic!
-Uff... ha estado cerca, jefe. El cortafuegos ha impedido que llegara a la IP fuente 2.0 .
atoi
No es un enlace a una imagen, es un enlace a un sitio malicioso que contiene una imagen con un exploit codificado. Nota que todavía se necesita de un script que cargue y ejecute el exploit. En claro, acá no hay magia, es la misma técnica de toda la vida pero agregando un componente de ofuscación (la esteganografía) dirigido a evitar que el usuario sospeche.
No. No se trata de una vulnerabiliad concreta, sino una forma original de explotar las ya existentes.
jakeukalane0
Parece un tanto sobredimensionado el asunto. Por cierto, dentro de una imagen se puede esconder de todo, archivos rar, torrents etc.
cat imagen.png archivo-a-ocultar.extension > nueva-imagen.png
pante
genbeta ya parece el noticiero del canal 4 aquí en mi país... unos sensacionalistas bárbaros.
r a g n o r
E imagino que tampoco hay que abrir la imagen expresamente: con que esté incluída en una web que has visitado ya debería bastar.
Esperemos que lo solucionen antes de que se ponga de moda esta forma de ataque.
lolo_aguirre
¡¡¡¡¡NOOOOOOO!!!!! Socorro!!! Apagad ahora mismo vuestros ordenadores y usad sólo el símbolo de comandos!!! Y si puede ser en un monitor de fósforo verde, mejor...