В Twitter найдена активная уязвимость, позволяющая «спрятать» в картинке вредоносный файл

Нашедший её специалист не стал рассказывать о ней разработчикам соцсети из-за их ответа на прежнюю похожую заявку.

Исследователь Дэвид Бьюкенен обнаружил опасный баг в Twitter. Используя его, злоумышленники могут «спрятать» в PNG-изображениях, загруженных в соцсеть, до 3 МБ любых, в том числе и вредоносных, данных. В качестве демонстрации уязвимости, разработчик опубликовал картинки, содержащие MP3-файлы и ZIP-архивы, пишет Bleeping Computer.

Источник: Unsplash

Бьюкенен не стал рассказывать о найденной бреши сотрудникам Twitter. По его словам, несколько лет назад он уже обращался к ним по поводу похожей уязвимости. Но тогда ему ответили, что это не баг безопасности, так как для успешной атаки пользователю необходимо переименовать файл.

Хочу проверить работу такой картинки на себе!

  1. Скачайте прикреплённую к посту картинку (нужно скачать именно оригинал 2048х2048 пикселей).
  2. Переименуйте формат файла с .PNG на .MP3.
  3. Включите трек.

Скачать исходный код инструмента можно на GitHub-аккаунте автора. Там же можно ознакомиться с ограничениями по исходному изображению. Например, вы знали, что все картинки, которые весят больше 3-5 МБ, Twitter автоматически конвертирует в JPG-формат?

Источник: Bleeping Computer

Что думаете?