Dizem que uma imagem vale mais do que mil palavras. Talvez isso realmente seja verdade no caso do método desenvolvido pelo pesquisador em segurança Saumil Shah para ocultar códigos maliciosos em uma simples imagem de tipos comuns, como JPG, BMP, GIF ou PNG.
O processo de “stegosploit”, como já diz o nome, baseia-se na antiga técnica de esteganografia, que consiste em ocultar a existência de uma mensagem dentro de outra, independente de seus meios. Diferente da criptografia, que oculta o significado de uma mensagem por meio de algum código secreto, a esteganografia oculta inclusive sua existência. E essa é a ideia principal por trás do “stegosploit”: ficar acima de quaisquer suspeitas.
Fotos perigosas
Portanto, cuidado com aquela foto de gatinho fofo ou alguma mensagem engraçada que rodam por aí – elas podem ser uma grande ameaça quando vindas de um remetente desconhecido. Saumil Shah explica como o processo do “stegosploit” acontece: o script malicioso chamado “IJMAS” – uma mistura de código de imagem com javascript – é fragmentado e codificado nos pixels da imagem.
Por meio do processo de renderização dinâmica da figura em HTML5, a linha de programação mal-intencionada é remontada e passa a funcionar. Assim, ela pode abrir caminho para a instalação de malwares ou ela mesma furtar informações de seu computador.
A sutileza com a qual o “IJMAS” é embutido na foto permite que ela fique praticamente inalterada, sendo possível notar alguma diferença apenas aplicando um zoom de muitas vezes na imagem. Em tamanho normal, tudo é imperceptível – apesar de os pixels da foto estarem repletos de códigos maliciosos. Basta o arquivo malicioso ser hospedado em qualquer serviço de armazenamento para que o seu link vire uma arma pronta para atacar o primeiro que visualizá-lo.
Alguns obstáculos para a ameaça
Porém, o perigo que essa técnica apresenta pode não ser tão simples de se espalhar por aí. É necessário que a imagem infectada seja armazenada sem sua extensão para que o navegador tenha que renderizá-la, ativando o código oculto nela. Sites que hospedam fotos e não permitem que o upload seja feito sem uma extensão reconhecida já não poderão ser usados com essa intenção. Locais que reprocessam as imagens publicadas, como o Facebook, também impedem que o método funcione, pois o código embutido vai desaparecer da figura quando ela for automaticamente alterada.
Veja no vídeo a seguir como é simples inserir códigos ocultos em uma imagem:
Apesar de não ser tão simples replicar esse sistema malicioso por aí, é bom ficarmos de olhos bem abertos com imagens desconhecidas e links suspeitos que possam ser acessados em nossos navegadores: um deles pode conter uma dessas fotos alteradas e, quando você se der conta, pode ser tarde demais.
Fontes
Categorias