Hay alguna manera de meter un virus espía a una foto para enviarselo a alguien?

Iniciado por Zelius, 23 Mayo 2017, 12:32 PM

0 Miembros y 2 Visitantes están viendo este tema.

Zelius

Me he estado preguntando si se puede enviar a alguien una foto con  un virus espia que me envie a mi ordenador lo que se mete esa persona. Si se mete en google que busca o algo parecido. :laugh: ::) si consiguiera hacerlo seria perfecto. ::) . Hay alguna manera de hacerlo?


engel lex

en resumen... no... no piensas que todas las imagenes de la web sserían peligrosas? a final de cuenta se descargan como archivos temporales a tu pc
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

animanegra

Bueno no pero si, o si pero no. Al final la foto es una entrada de datos de un programa. Si el programa, navegador, visor de imagenes, etc.. tiene un fallo de ejecución de código aleatorio entonces para la gente que visualice el contenido de tu web, contenido, fichero generado específicamente para que use dicho error permitirá que se ejecute el código que le asignes.

Un ejemplo muy sencillo es el que vimos hace poco en la librería imagemagick para el tipo de archivos .SVG:

https://blog.sucuri.net/2016/05/imagemagick-remote-command-execution-vulnerability.html

http://blog.trendmicro.com/trendlabs-security-intelligence/imagemagick-vulnerability-allows-remote-code-execution-now-patched/

Este error era muy guai porque era muy muy fácil de explotar y probar, se podía probar con la aplicación display de linea de comando. Generabas el svg le metías el código que querías en el error de parseo y usabas convert teniendo como entrada la imagen y listo.

Como ves, aquí no es que uses una norma general, no es un error general de las imágenes si no de los programas concretos que se utilizan a la hora de leer las imágenes (o datos, o lo que sea, como en cualquier otro programa). Explotarlos puede ser tan fácil como en este error concreto, o muy difíciles en otros casos, depende del error.

Creo que he puesto en un lenguaje suficientemente sencillo para que cualquiera lo entienda, si no es así, pues preguntas de nuevo.

Saludos.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

engel lex

display de linea de comandos? :s era imagemagick, en este caso fue delicado porque era usada como backend algunos servidores, pero para ser sincero, se veia un poco venir a partir de cierta version del programa que intentó integrar "graficos avanzados y en movimiento" con uso de comandos :s

de allí no tenía alcance al publico
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Randomize

Hombre...

Añadir datos a una imagen o un archivo de audio se puede...


Pero lo que tú quieres, esa cosa malosa, pos...

animanegra

Cita de: engel lex en 23 Mayo 2017, 13:18 PM
display de linea de comandos? :s era imagemagick, en este caso fue delicado porque era usada como backend algunos servidores, pero para ser sincero, se veia un poco venir a partir de cierta version del programa que intentó integrar "graficos avanzados y en movimiento" con uso de comandos :s

de allí no tenía alcance al publico

Igual no lo he dejado claro :D, era un mero ejemplo de un programa con error y que se podía probar fácilmente de la forma que comentaba. La idea era mostrar como las aplicaciones que el usuario usa para ver contenidos pueden tener fallos que lleguen a una ejecución de código. Igual no me he explicado de la forma correcta.

El error se podía usar y era sobre todo problemático para las aplicaciones web que usasen la librería, pero el hilo del post no iba por esos derroteros.


42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

Borito30

Al final porque tu mandes una imagen jpg png son datos en sí no puedes ejecutar código malicioso solo será por medio de un error en tu visor o usando algo de ingenieria social.
Estoy en contra del foro libre y la Sección de juegos y consolas (distraen al personal)

Serapis

Un virus puede esconderse en cualquier parte... pero eso no debe llevar a la creencia de que 'desde ahí', pueda ejecutarse.
Sólo puede ejecutarse si algo ejecutable lo hace. Si está oculto dentro de datos, no hace nada, los datos por si sólo son 'materia muerta, inactiva'. Los datos nunca 'tienen el control', siempre son 'usados'...

MadBad

Si se puede.

Ya me han borrado varios mensajes por poner un manual que te dice un 0,0001% de como se hace.. Na más que explicaban lo básico, pero aún así no creo que alguien que no sabe se entere de algo de lo que ponia...
<--!Python/C#/C++/Ruby/RubyOnRails/Java/-->
Veni, Vidi, Vici - MadBad 3012 A.C.