Un ricercatore indiano, Saumil Shah, ha scoperto una tecnica che permette di infettare un computer semplicemente cliccando su di una immagine in un sito web
Più funzioni si aggiungono ai browser, più è facile che saltino fuori delle vulnerabilità e, addirittura, opzioni nate per rendere più sicure le comunicazioni si trasformano incavalli di troia.
È il caso della tecnica chiamata dal suo scopritore “Stegosploit“, un metodo che usa la steganografia per nascondere codice malevolo all’interno di una immagine jpg o png, i formati più comuni su Internet.
Shah ha dimostrato la sua scoperta tenendo una conferenza al HIYBSecConf qualche giorno fa.
Di solito, la steganografia viene usata per nascondere testi all’interno di immagini e video, in modo da scambiare messaggi “in segreto” anche su canali poco sicuri.
Non a caso, l’NSA ha una sezione dedicata all’analisi dei video porno sul web in quanto è stato scoperto che vengono usati spesso da cybercriminali e terroristi per inviarsi informazioni.
Dopo qualche ricerca, però, Saumil Shah ha scoperto che oltre ai messaggi è possibile incorporare in maniera efficace anche del codice javascript e che è possibile far eseguire quest’ultimo semplicemente portando l’utente a cliccare sull’immagine infetta.
“Un buon exploit è quello realizzato con stile” – dice Shah parlando della sua scoperta: “non ho neanche bisogno di aprire un dominio, mi basta caricare l’immagine su di un servizio web e chiedere agli utenti di cliccare sull’immagine per vederla”.
In realtà, l’exploit non è ancora stato testato su servizi pubblici in maniera estensiva e quindi non si sa che davvero funzioni su tutte le “vetrine pubbliche” del web, ma di sicuro ce n’è abbastanza per rendere questa tecnica una delle più virali.
Shah ha anche realizzato un video per dimostrare come funziona la sua tecnica, liberamente consultabile su Youtube.
Una cosa preoccupante, è che dopo aver chiesto adalcuni produttori di software di sicurezzase i loro prodotti proteggono i computer contro questa minaccia, non abbiamo ancora avuto una risposta.
Aggiorneremo l’articolo (speriamo a breve) con le loro dichiarazioni. Nel frattempo, sarebbe facile dirvi di stare attenti a cosa cliccate, ma anche inutile (il web vive di clic). Quindi è più sensato ricordare ditenere alte le difese del PC, perché anche se questa tecnica può essere invisibile all’antivirus, non lo sarà il codice che verrebbe eventualmente scaricato ed eseguito.