Comments 17
Зачем твиттеру с его-то объёмами медиаконтента перепаковывать даные, если это валидные данные?
(А ещё ведь в PNG можно «спрятать» нижнюю часть изображения, поправив высоту в секции IHDR — будет этакая квадратная картинка с котиком, которая на самом деле прямоугольная и под котиком написано «Трамп козёл!». И это, внезапно, тоже будет валидный PNG)
Что ещё за хакер в столовой?
Баян классика:
https://xakep.ru/2006/12/16/35784/
Иногда, багхантеры доходят до какого-то маразма. Вредоносный можно зашифровать во что угодно, начиная от картинок/гифок с видеозаписями и заканчивая просто плейн текстом на сайте. Абсолютно ничего не стоит злоумышленнику создать пользователя в твиттере, в 5 постов зашифровать вредоносный код и также, как предлагает автор, использовать для эксплоитов. Но ведь это же не будет блокироваться
А дальше зашифруем что-нибудь в exif данные, в информацию о цветовой палитре и тд)
Да и в целом не понимаю, с чего вообще твиттер должны это считать проблемой безопасности. Содержимое картинки не нарушает конфиденциальность пользователя, не выполняет код на серверах твиттера, поэтому заслуженное N/A багхантеру.
Вредоносный можно зашифровать во что угодно, начиная от картинок/гифок с видеозаписями и заканчивая просто плейн текстом на сайте.Больше того скажем, абсолютно что угодно можно дешифровать во вредоносный код, если иметь соответствующий дешифратор:)
twitter.com/GalacticFurball/status/1319765986791157761
Хех, я ещё лет 8 назад подумал, что можно в твиттер закинуть картинки, например 500х500, где в пикселах были бы биты закодированы. И протестировал, что всё загружается и выгружается потом обратно корректно. Даже была идея файловую систему на основе твитов сделать, удаляя старые и постя новые… Но дальше идеи и пары экспериментальных твитов (кажется там бинарник /bin/bash из убунты) дело не ушло: https://twitter.com/Tmin10/status/277752055639183360
Если полиси этого твиттера позволяет сохранять текст — что мешает кодировать в base64 любые данные? Правда, если окажется, что base64 вызывает дискриминацию и ненависть — могут и забанить.
Дык это ж прям старый добрый rarjpeg, только версии 2.0
Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлыНу всё, ждём «очень любимый» нами Ракомпозор, и его попытки загасить Twitter за педотерроризм.
Ужас какой, «вредоносный контент», который надо извлечь специальным скриптом!
Что уж там, можно прямо на картинке написать содержимое «вредоносного контента»! Не напрямую — так стеганографически, вот даже соответствующее вредоносное ПО в открытом доступе лежит!
Да что уж там, представляете, можно поставить ссылку на «вредоносный контент», а можно — вообще ужас — его вообще опубликовать в виде текста твитов, не напрямую так в каком-нибудь base64, чтобы никто, кроме злоумышленников, не догадался!
Более того, так можно сделать не только в твиттере, а вообще везде. Какой ужас этот ваш интернет, запретить срочно.
Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы