Parece una inocente imagen de Twitter, pero dentro se puede esconder un archivo ZIP con hasta 3 MB de datos. El investigador y programador David Buchanan ha descubierto que es posible aplicar la técnica de la esteganografía dentro de Twitter. Y para demostrarlo ha publicado una imagen donde explica que puede descargada, renombrada a .zip y acceder a todas las líneas de texto y código escondidas.

La esteganografía no es una técnica desconocida, pero sí es la primera vez que se explica públicamente que es posible hacerlo con las imágenes de la red social, algo que abre la puerta a que posibles atacantes lo aprovechen para esconder códigos maliciosos.

ZIPs y hasta canciones MP3s escondidas en las imágenes de Twitter

El investigador ha publicado en Github el código abierto de su PNG descargable para aquellos que deseen replicarlo. Según detalla, la resolución de la imagen puede ser hasta 4.096 x 4.096 píxeles, sin embargo Twitter ofrecerá una versión reducida de forma predeterminada. Aún así, esta compresión no elimina el código ZIP escondido.

I found a way to stuff up to ~3MB of data inside a PNG file on twitter. This is even better than my previous JPEG ICC technique, since the inserted data is contiguous.



The source code is available in the ZIP/PNG file attached: pic.twitter.com/zEOl2zJYRC — Dаvіd Вucһаnаn (@David3141593) March 17, 2021

Desde Xataka hemos hecho rápidamente la prueba con la imagen publicada y aunque directamente no nos ha permitido extraerla en el escritorio (macOS), sí ha sido sencillo hacerlo a través de una herramienta online. En el interior de la imagen de prueba se esconden varios archivos de texto dedicados a la licencia y una explicación breve.

Buchanan también proporciona el código fuente para generar lo que ha denominado como 'Tweetable Polyglot PNG'. No terminan aquí las posibilidades, pues como explica seguidamente también es posible ocultar un archivo MP3 en una imagen de Twitter. Lo que a la práctica es como una "imagen que canta".

Download this one, rename to .mp3, and open in VLC for a surprise. (Note: make sure you download the full resolution version of the file, should be 2048x2048px) pic.twitter.com/x2J88xkBhd — Dаvіd Вucһаnаn (@David3141593) March 17, 2021

Al descargar la imagen en tamaño original de 2,5 MB y cambiar la extensión a .MP3, podremos escuchar la conocida canción de Rick Astley, 'Never Gonna Give You Up'. Una curiosa forma de rickrollear a través de Twitter.

"Twitter comprime imágenes, la mayor parte del tiempo, pero hay algunos escenarios en los que no lo hace. Twitter también intenta eliminar cualquier metadato que no sea esencial, por lo que cualquier técnica existente de 'archivo políglota' no funcionaría", explica Buchanan a Bleeping Computer. El truco parece estar en que se pueden agregar datos al final de la secuencia 'DEFLATE', en ese caso la red social parece no eliminarlos al comprimir.

La técnica de la esteganografía es bien conocida y aunque sí representa una posible puerta de entrada de contenido malicioso en Twitter, Buchanan explica que hay otros métodos de esteganografía más fáciles de implementar e incluso más discretos.

