用一張圖片，黑客就能黑掉你的電腦

中國有句老話：“你有張良計，我有過牆梯。”在如今，網路安全環境越來越被人們所重視，黑客們也在想更高的招數來入侵你的電腦。

根據雷鋒網的訊息，印度 Net-Square 公司 CEO、網路安全專家 Saumil Shah 最近發現了一個惡意程式的 BUG：黑客們可以把惡意程式寫到一張普通的圖片檔案裡，人們只要開啟看一眼這張看似普通的圖片，電腦就會被黑。

Saumil Shah 把這種隱藏惡意程式命名為 Stegosploit。那麼這個程式的原理是什麼呢？

Saumil Shah 介紹說該 BUG 來源於是一種 Steganography 技術，這種技術可以把資訊隱藏到圖片中，Saumil Shah 利用這種概念，把程式碼寫進圖片畫素，然後通過 html5 的可遞交指令碼的動態 Canvas 元素還原。

這個惡意程式碼本質是圖片的程式碼和 Javascript 指令碼的混合，被稱之為 IMAJS。黑客可以把程式碼寫進 JPG 或者 PNG 格式的圖片中，除非把圖片放大仔細檢視，否者一般情況下，肉眼很難發現圖片有問題。

黑客在圖片中寫了惡意程式，這個程式可以設計很多功能，比如下載和安裝間諜軟體等。然後把圖片上傳到網上，並把地址告訴你，當你在瀏覽器中檢視這張圖片的時候，惡意程式就會被觸發，你的電腦就有可能被黑。

也就是說，如果黑客懂得利用了這個漏洞，那麼在以後的日子裡，圖片檔案對我們來說已經不可信任了。

不過這種程式碼也不是百分百能讓你中招，他只能作用於一些安全性較弱的瀏覽器或網站，並且這種帶有惡意程式的圖片不會出現在社交網站上，因為像 Facebook 等大社交網站，在上傳圖片的時候網站都會對其進行檢測，如有問題，則不能上傳。

5 月 28 日，在 2015 HITBSecConf 大會上 Saumil Shah 為大家演示瞭如何在圖片上寫程式並攻擊個人電腦的方法，目前看來這只是一個漏洞，應該很快就會被修復。

具體視訊可自備梯子戳我。