FYI.

This story is over 5 years old.

Tech

So kannst du beim Betrachten eines Onlinebildes gehackt werden

Niedliche Katzenbilder sind weniger harmlos als du denkst.
Bild: flickr, Elsamuko | CC BY-SA 2.0

Sei das nächste Mal lieber vorsichtig, wenn dir jemand einen Link zu einem hübschen Online-Bild schickt. Auch wenn es sich dabei um eine süße Katze oder einen herrlichen Sonnenuntergang handelt—das nette Foto könnte deinen Computer hacken.

Das „böse" Bild unterscheidet sich auf den ersten Blick nicht von einem ganz normalen Katzenkunstwerk, doch mit einer, von dem indischen Sicherheitsforscher Saumil Shah entwickelten Technik, kann ein Hacker Schadsoftware innerhalb der Pixel verstecken. Somit befindet sich ein unsichtbares Exploit direkt vor deinen Augen.

Anzeige

Die Technik nennt sich „Stegosploit" und Shah hat sie Motherboard noch einmal vor seinem Talk auf der Amsterdamer Hackerkonferenz Hack In The Box vorgeführt.

Die Programmierung von geheimem Code in ein Bild ist Shah mit Hilfe der Steganographie gelungen, einer Art verborgener Speicherung, mit der sich in einem Bild oder Text noch weitere Texte oder Bilder verstecken lassen. In diesem Fall lässt sich der in den Pixeln enthaltene schädliche Code mit einem HTML 5 Element namens Canvas entziffern, mit dem Bilder dynamisch gerendert werden können. Für Shah ist es die „Magie hinter Stegosploit".

„Alles was ich brauche, um jemanden zu hacken ist eine Bilddatei, sonst nichts.

Shah sagt, alles was er brauche, um jemanden zu hacken sei eine Bilddatei—sonst nichts. „Ich muss keinen Blog hosten, ich benötige auch keine Website. Ich muss nicht mal eine Domain registrieren lassen", erzählte Shah Motherboard während der Demonstration letzte Woche. „Ich nehme einfach ein Bild, lade es irgendwo hoch und dann mache ich dich darauf aufmerksam. Sobald du es in deinen Browser lädst, explodiert es."

Der betreffende Code, dem Shah „IMAJS" nennt, ist eine Mischung aus Imagecode und Javascript, unsichtbar eingefügt in eine JPG- oder PNG-Datei. Solange du nicht weiter in das Bild hereinzoomst sieht das bearbeitete Foto völlig normal und unauffällig aus.

Shah arbeitet in seiner Freizeit seit mittlerweile fünf Jahren an dieser Forschung und zeigte mir anhand meines eigenen Profilbildes in einem Skype-Demo, wie die Technik funktioniert. Dann erklärte er uns sein Vorgehen, in einem exklusiven Video für Motherboard, in dem er sein eigenes Bild als Versuchskaninchen benutzt.

Anzeige

In dem Video versteckt er Schritt für Schritt den schadhaften Code in der Bilddatei.

Das zweite Video zeigt wie Stegosploit funktioniert. Er hat das Bild so programmiert, dass das Exploit startet, sobald die Zielperson das Bild auf seinem oder ihrem Browser öffnet (die Technik funktioniert nur in Browsern) und drauf klickt (er kann es auch so programmieren, dass der Vorgang schon beim Laden ausgelöst wird).

Nach dem unheilvollen Klick fährt die CPU-Auslastung deines Computers auf 100 Prozent hoch, was ein deutliches Zeichen dafür ist, dass das Exploit seine Arbeit tut. Der schadhafte Code schickt daraufhin Daten des betroffenen Rechners zu dem des Angreifers und informiert das Opfer auf seinen Bildschirm mit der Botschaft: „You are hacked!"

Die kleine Nachricht ist natürlich nicht alles, was das Programm mit deinem Computer anstellen könnte. Shah hätte das Bild auch so ausstatten können, dass dein Rechner Spionagesoftware herunterlädt und installiert oder Daten aus dem Opfercomputer abgezogen werden.

Bilddateien sollten nicht mehr als harmlos betrachtet werden.

Für ihn ist die wichtigste Aussage seines Programms, dass Bilddateien nicht mehr als harmlos betrachtet werden sollten. Sie können ebenso wie PDFs oder andere Dateitypen Schadsoftware beinhalten.

Patrick Wardle, Geschäftsführer von Synack und ehemaliger NSA-Mitarbeiter, sagte, dass Angreifer mit Stegosploit Erkennungsoftware auf Bildsharingseiten umgehen könnten. Dennoch gibt es auch Scanner die schädliches Javascript in einem Bild aufspüren.

Anzeige

Bei all diesen Techniken ist ein ungeschützter (in anderen Worten ungepatchter) Browser notwendig, dass sich die Schadsoftware ausbreiten kann, so Ken Westin, Analyst bei dem Sicherheitsunternehmen Tripwire.

Shah selbst hat seine Technik bisher noch nicht auf den bekannten Bildsharingseiten wie Imgur oder Dropbox getestet, er nimmt jedoch an, dass sie nicht überall funktionieren würde. Die schädliche Datei muss mit einer Extension hochgeladen werden, die den Browser täuscht und das Bild rendert. Einige Seiten, wie auch Dropbox, erlauben das nicht. Seiten wie Facebook bereiten das Bild beim Upload neu auf, wodurch der Extra-Code verloren geht, erzählt Shah.

Früher oder später werden diese Techniken kommen.

Das Verfahren lässt sich also aktuell nicht so einfach nachbilden und es sieht nicht so aus als würde es in der nächsten Zeit in „freier Wildbahn" zu finden sein. Doch Shah glaubt, dabei handelt es sich dabei nur um eine Frage der Zeit, „früher oder später werden diese Techniken kommen".

„Du bist nie der einzige, der eine Sache herausfindet", sagte er in unserem Gespräch. „Ich bin der einzige, der auf der Bühne darüber spricht, aber ich bin mir sicher, dass andere Leute schon das Gleiche herausgefunden haben."