专栏首页java一日一条用一张图片,黑客就能黑掉你的电脑

用一张图片,黑客就能黑掉你的电脑

中国有句老话:“你有张良计,我有过墙梯。”在如今,网络安全环境越来越被人们所重视,黑客们也在想更高的招数来入侵你的电脑。

根据雷锋网的消息,印度 Net-Square 公司 CEO、网络安全专家 Saumil Shah 最近发现了一个恶意程序的 BUG:黑客们可以把恶意程序写到一张普通的图片文件里,人们只要打开看一眼这张看似普通的图片,电脑就会被黑。

Saumil Shah 把这种隐藏恶意程序命名为 Stegosploit。那么这个程序的原理是什么呢?

Saumil Shah 介绍说该 BUG 来源于是一种 Steganography 技术,这种技术可以把信息隐藏到图片中,Saumil Shah 利用这种概念,把代码写进图片像素,然后通过 html5 的可递交脚本的动态 Canvas 元素还原。

这个恶意代码本质是图片的代码和 Javascript 脚本的混合,被称之为 IMAJS。黑客可以把代码写进 JPG 或者 PNG 格式的图片中,除非把图片放大仔细查看,否者一般情况下,肉眼很难发现图片有问题。

黑客在图片中写了恶意程序,这个程序可以设计很多功能,比如下载和安装间谍软件等。然后把图片上传到网上,并把地址告诉你,当你在浏览器中查看这张图片的时候,恶意程序就会被触发,你的电脑就有可能被黑。

也就是说,如果黑客懂得利用了这个漏洞,那么在以后的日子里,图片文件对我们来说已经不可信任了。

不过这种代码也不是百分百能让你中招,他只能作用于一些安全性较弱的浏览器或网站,并且这种带有恶意程序的图片不会出现在社交网站上,因为像 Facebook 等大社交网站,在上传图片的时候网站都会对其进行检测,如有问题,则不能上传。

5 月 28 日,在 2015 HITBSecConf 大会上 Saumil Shah 为大家演示了如何在图片上写程序并攻击个人电脑的方法,目前看来这只是一个漏洞,应该很快就会被修复。

本文分享自微信公众号 - java一日一条(mjx_java),作者:收听我

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-11-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 深入理解 Java 中的 try-with-resource

    众所周知,所有被打开的系统资源,比如流、文件或者Socket连接等,都需要被开发者手动关闭,否则随着程序的不断运行,资源泄露将会累积成重大的生产事故。

    哲洛不闹
  • 30分钟让网站支持HTTPS

    我不是安全专家也不是搞服务器的,所以这对我而言也是一种有趣的经历,而记录这个过程可以让其他任何人也能很快地做到这些。包括一些暂时的停顿时间,我总共只花了20-3...

    哲洛不闹
  • 传统的程序员将会被淘汰

    要成为当今软件开发中受人尊敬的专业人士,你需要掌握各种技能,而且达到高水平的专业级别。最起码,你需要能够把你的英语解决方案翻译成软件实现。不仅技术上要正确,在业...

    哲洛不闹
  • 英国5G建设病急乱投医,这两家日本企业或成华为接盘侠

    屈服于美国的压力,英国在上周宣布了将全面禁止华为参与英国的5G网络建设,已采用的华为设备也需要在2027年前拆除。

    新智元
  • 如何看待测试过程中的漏测发生

    漏测,相信对于每个测试同学而言,都是“谈虎变色”的事,但是实际工作中,我们稍有不谨慎便会和它来一次“亲密接触”。那么,现在我们一起来聊聊测试中的漏测。

    软件测试君
  • pytorch 如何设置 可学习参数

    #比如cnn输出4个东西,你又不想concate到到一起,你想用权重加法,权重又不想自己设定,想让网络自己学

    于小勇
  • 暗网世界,黑客可能用AI再造了一个“你”

    导读:今年2月,卡巴斯基实验室的欺诈侦查小组捣毁了一个名为“创世纪”(Genesis)的暗网市场。该市场出售“数字身份”(互联网用户的电子身份信息),每条信息起...

    华章科技
  • 暗网世界,黑客可能用AI再造了一个“你”

    今年2月,卡巴斯基实验室的欺诈侦查小组捣毁了一个名为“创世纪”(Genesis)的暗网市场。该市场出售“数字身份”(互联网用户的电子身份信息),每条信息起价5美...

    代码医生工作室
  • 手机与电视的双屏互动路径探索--春晚微信摇一摇设计理念

    腾讯大讲堂隆重推出【100亿次的挑战】系列海量服务之道2.0讲座,覆盖技术、产品、项目管理、支撑、支付5个维度。第二场【产品篇】3000名鹅厂员工参与,场面火爆...

    腾讯大讲堂
  • 从运行原理及使用场景看Apache和Nginx

    http://yansu.org/2014/02/15/apache-and-nginx.html

    bear_fish

扫码关注云+社区

领取腾讯云代金券