Skip to main content

Un error de Twitter permite compartir archivos maliciosos

Un programador descubrió una vulnerabilidad en Twitter que permite utilizar la técnica de la esteganografía para ocultar archivos y códigos en lo que aparenta ser una imagen.

El investigador David Buchanan publicó un hilo en la red social, en el que demostró cómo era posible subir imágenes con líneas de texto y códigos ocultos que no son detectados por los sistemas de seguridad de Twitter.

Recommended Videos

En dos experimentos, Buchanan publicó imágenes con formato PNG. Cuando los archivos eran descargados en una computadora, podían ser renombrados como archivos ZIP o MP3 completamente funcionales.

Aunque Twitter tiene un mecanismo para comprimir imágenes y eliminar metadatos innecesarios, el investigador descubrió una fórmula para evitar que esto ocurra.

I found a way to stuff up to ~3MB of data inside a PNG file on twitter. This is even better than my previous JPEG ICC technique, since the inserted data is contiguous.

The source code is available in the ZIP/PNG file attached: pic.twitter.com/zEOl2zJYRC

— David Buchanan (@David3141593) March 17, 2021

“Twitter comprime imágenes, la mayor parte del tiempo, pero hay algunos escenarios en los que no lo hace. Intenta eliminar cualquier que no sea esencial, por lo que cualquier técnica existente de ‘archivo políglota’ no funcionaría”, explicó Buchanan.

La esteganografía es una técnica que permite ocultar información dentro de archivos multimedia, como imágenes, audio o video. Es una práctica usada por piratas informáticos para vulnerar los cortafuegos y otros sistemas de seguridad.

Aunque es una práctica conocida, se trata de la primera vez que se explica de forma pública cómo usar el mecanismo de esteganografía con las imágenes de la red social, según Bleeping Computer (vía Xataka).

El hallazgo deja en evidencia una vulnerabilidad de Twitter, que podría ser aprovechada por los piratas informáticos para esconder códigos maliciosos en imágenes o videos.

El investigador publicó en Github el código abierto de los archivos PNG, si algún usuario desea replicar le experimento.

Rodrigo Orellana
Ex escritor de Digital Trends en Español
Twitter, Facebook, Instagram, WhatsApp, Telegram, criptomonedas, metaverso, son algunos de los temas que aborda el periodista…
Cómo convertir un archivo de Kindle en PDF
Cómo convertir un archivo de Kindle en PDF.

El Kindle de Amazon es un gran negocio. Tanto el hardware como el servicio digital cambiaron la forma en que se leen libros, revistas, cómics y demás publicaciones. Desafortunadamente, los clientes no pueden simplemente descargar libros de Kindle y leerlos a través de cualquier aplicación.

Por motivos de gestión de derechos digitales (DRM), todos los libros electrónicos de Kindle están bloqueados en el hardware de Kindle. Estos libros digitales utilizan el formato de archivo AZW–propiedad de Amazon–, aunque las tabletas Kindle también admiten archivos MOBI. Esto hace que leer estos libros electrónicos fuera de la burbuja de Kindle sea casi imposible.

Leer más
X mató a Twitter y estamos asistiendo a un largo funeral
Pájaro azul sobre una tumba

Fue un 27 de octubre de 2022 cuando Elon Musk comenzó su aventura del terror por Twitter, adquiriendo la red social creada por Jack Dorsey, e inmediatamente despidiendo a buena parte de los viejos paladines de la plataforma. Ya se cumple un año desde ese momento, que dio inicio al tiro de gracia al pajarito azul, y su reemplazo por una X.

Y ese momento que estuvo precedido por el cambio de logo por el perro de Dogecoin y por una serie de especulaciones, que llevaron a la salida de Musk como CEO y la llegada de Linda Yaccarino, han iniciado un largo funeral.
De la aplicación para todo a pedir limosna

Leer más
X (ex Twitter) comenzó a implementar las llamadas de audio y video
x llamadas de audio video chris montgomery smgtvepind4 unsplash

Un par de meses después de conseguir el puesto de CEO en X (anteriormente Twitter) en mayo, Linda Yaccarino dijo: "X será la plataforma que puede cumplir, bueno... todo".

Parte de eso incluye llamadas de audio y video, que la compañía acaba de comenzar a implementar para usuarios de todo el mundo.

Leer más