中國有句老話：“你有張良計(jì)，我有過墻梯。”在如今，網(wǎng)絡(luò)安全環(huán)境越來越被人們所重視，黑客們也在想更高的招數(shù)來入侵你的電腦。

根據(jù)雷鋒網(wǎng)的消息，印度Net-Square公司CEO、網(wǎng)絡(luò)安全專家Saumil Shah最近發(fā)現(xiàn)了一個(gè)惡意程序的BUG：黑客們可以把惡意程序?qū)懙揭粡埰胀ǖ膱D片文件里，人們只要打開看一眼這張看似普通的圖片，電腦就會(huì)被黑。

Saumil Shah把這種隱藏惡意程序命名為Stegosploit。那么這個(gè)程序的原理是什么呢？

Saumil Shah介紹說該BUG來源于是一種Steganography技術(shù)，這種技術(shù)可以把信息隱藏到圖片中，Saumil Shah利用這種概念，把代碼寫進(jìn)圖片像素，然后通過HTML5的可遞交腳本的動(dòng)態(tài)Canvas元素還原。

這個(gè)惡意代碼本質(zhì)是圖片的代碼和Javascript腳本的混合，被稱之為IMAJS。黑客可以把代碼寫進(jìn)JPG或者PNG格式的圖片中，除非把圖片放大仔細(xì)查看，否者一般情況下，肉眼很難發(fā)現(xiàn)圖片有問題。

黑客在圖片中寫了惡意程序，這個(gè)程序可以設(shè)計(jì)很多功能，比如下載和安裝間諜軟件等。然后把圖片上傳到網(wǎng)上，并把地址告訴你，當(dāng)你在瀏覽器中查看這張圖片的時(shí)候，惡意程序就會(huì)被觸發(fā)，你的電腦就有可能被黑。

也就是說，如果黑客懂得利用了這個(gè)漏洞，那么在以后的日子里，圖片文件對我們來說已經(jīng)不可信任了。

不過這種代碼也不是百分百能讓你中招，他只能作用于一些安全性較弱的瀏覽器或網(wǎng)站，并且這種帶有惡意程序的圖片不會(huì)出現(xiàn)在社交網(wǎng)站上，因?yàn)橄馞acebook等大社交網(wǎng)站，在上傳圖片的時(shí)候網(wǎng)站都會(huì)對其進(jìn)行檢測，如有問題，則不能上傳。

5月28日，在2015 HITBSecConf 大會(huì)上Saumil Shah為大家演示了如何在圖片上寫程序并攻擊個(gè)人電腦的方法，目前看來這只是一個(gè)漏洞，應(yīng)該很快就會(huì)被修復(fù)。

具體視頻可自備梯子戳我。

via crazyengineers

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。