Tecnologia

Twitter, scoperta vulnerabilità che consente di nascondere contenuti nelle immagini

Una vulnerabilità consentirebbe di annidare dei file di vario tipo all'interno delle immagini pubblicate su Twitter. Si tratta di un bug grave, che potrebbe essere sfruttato da malintenzionati per scopi criminali.

David Buchanan, ricercatore per una società di sicurezza informatica, ha recentemente scoperto una tecnica per nascondere fino a 3 MB di dati all’interno di un’immagine su Twitter, dimostrandone poi il funzionamento tramite l’inserimento di dati all’interno di un file immagine di tipo PNG, di un file audio MP3 e di un archivio ZIP. Accedere al contenuto “nascosto” è piuttosto semplice, dato che basta scaricare l’immagine e cambiarne l’estensione.

Buchanan ha anche fornito il codice sorgente per realizzare quelli che ha definito file tweetable-polyglot-png su GitHub. Il ricercatore ha spiegato che, solitamente, Twitter comprime le immagini e tenta di rimuovere tutti i metadati non essenziali, ma è sufficiente aggiungere ulteriori dati al termine dello stream “DEFLATE” per evitare questo problema.

Spesso tecniche di questo tipo vengono utilizzate da malintenzionati per nascondere comandi dannosi, payload ed altri contenuti potenzialmente pericolosi all’interno di file apparentemente innocui, come le immagini. Proprio per questo motivo, Twitter dovrebbe effettuare diversi controlli aggiuntivi per non permettere simili comportamenti.

Stando a Buchanan, tuttavia, Twitter dovrebbe essere conoscenza di questo bug, tanto che lui stesso aveva segnalato la prima versione del suo exploit, basato ancora su JPEG, al programma “bug bounty” della compagnia e gli era stato risposto che non era un bug di sicurezza e, visto il precedente, ha evitato di informarli nuovamente anche in questa occasione.