Hace años, éramos temerosos de los programas de Windows que podían contener un virus y borrar nuestro disco duro. Hoy tenemos que vigilar las webs por las que navegamos, ya que pueden contener phishing y malware. ¿Y si en el futuro tuviéramos que vigilar incluso las imágenes que cargásemos en el navegador? De momento ya no se quede como algo imposible, porque desde Motherboard ya nos explican cómo se puede ocultar contenido malicioso dentro de una imagen.
Eso es posible mediante una herramienta llamada Stegosploit, con la que podemos ocultar código dentro de un archivo de imagen aprovechando el elemento Canvas del estándar HTML5. Dicho elemento es capaz de renderizar imágenes y figuras a partir de un script. Y la fotografía, a menos que amplíes mucho su zoom, parece completamente inofensiva a simple vista.
En esta demostración, de apenas ocho minutos, podemos ver cómo se coge una imagen y se convierte en el caballo de troya para que un hacker tenga acceso al ordenador de otra persona sin problemas:
La técnica sólo funciona si abrimos la imagen desde un navegador, ya que hay que aprovechar el motor HTML que lleva. Si abrimos la imagen desde cualquier otro programa (Visor de imágenes, Photoshop...) no ocurre absolutamente nada. Pero el problema sigue ahí: cualquier experto podría utilizar este método para instalar aplicaciones como spyware o adware en nuestros sistemas.
Un simple tuit que enlace a una imagen manipulada puede ser una arma muy potente para engañar a incautos
La buena noticia es que, como todas las vulnerabilidades de seguridad, esto es un problema que se podrá resolver en cuanto los navegadores se actualicen con algún parche. También habría que ver si estas imágenes "infectadas" pasan las rutinas de seguridad de servicios como Dropbox, que permiten almacenar y compartir imágenes.
Pero aún así es tan simple como temible: estamos ante un nuevo frente por el que poder atacar a usuarios incautos. Tan fácil como tuitear algún mensaje que llame la atención junto a un enlace a la imagen y listo, ya somos víctimas. No hace falta hacer nada más que abrir la imagen, ni siquiera hay que guardarla en el ordenador para que el exploit funcione. Esperemos que haya modos efectivos de frenar esta vulnerabilidad.
En Genbeta | Google cree tener la extensión definitiva contra el phishing en sus propios servicios
Ver 13 comentarios