來源：量子位

曉查 發自 凹非寺?

量子位 報道 | 公眾號 QbitAI

明明下載的是一張圖片，只需修改后綴名，圖片就變成了一首歌，一串Python代碼。

國外黑客David Buchanan利用Twitter的漏洞，可以用圖片偽裝的方式傳輸一份“加密”文件，前提是不超過3MB。

他成功把這種藏匿文件的GitHub源代碼壓縮到圖片中。

現在你只要去他的Twitter，把這張圖片下載下來，并將文件后綴名從.png修改為.zip，即可解壓為Github代碼。

（注：親測Mac自帶解壓工具報錯，第三方工具可正常解壓。）

對于有十幾年網齡的老網民來說，這并不是一項新技術。早年就有人將文本文件或種子文件藏匿在jpg圖片中。

這種方法的特點在于，把文件打包到圖片中并不影響正常顯示，但一般來說文件大小不過幾十KB。

隨著網絡發展，越來越多的平臺允許用戶上傳大尺寸無損圖片，這就給藏匿大文件提供了契機。

Buchanan的新方法現在將藏匿文件體積增加到3MB，你甚至能放入一首歌。

Twitter上就有現成的例子，Buchanan放出了一張surprise.mp3的圖片。如果后綴名修改為.mp3，就變成了一首歌。

至于這個surprise，自然毫無意外是Rick Astley的《Never Gonna Give You Up》這首歌。恭喜你，又被“瑞克搖”了。

Buchanan的這一發現已經連續多天成為GitHub熱門項目，最終在周末登上日榜第一。

使用方法很簡單，只需要將pack.py文件下載到本地，運行以下代碼：

python3 pack.py cover.png file.zip output.png

其中，cover.png是封面圖片，file.zip是你要藏匿的文件，output.png是輸出結果的文件名。

從外觀上來看，output.png和cover.png是一樣的，但多出一個壓縮包的大小。

原理

用圖片隱藏壓縮包的原理并不復雜，png圖片文件的格式如下。在Zlib之后，有一片IDAT塊的附加數據。藏匿數據就放在這里。

Twitter通常會壓縮圖像并刪除所有不必要的元數據，但是可以在“ DEFLATE”的末尾添加更多數據。

如果整個圖像文件符合避免重新編碼的要求，壓縮包內容就不會從IDAT塊內的DEFLATE流中剝離。

這種方法不僅限于嵌入zip、mp3等文件，只要數據能壓縮到3MB以內，都可以嵌入到png圖片中。

Buchanan表示，這種方法可能被黑客用于藏匿惡意代碼，他本人已將該漏洞利用報告給“漏洞賞金”程序，但卻被witter告知這不是bug。

能傳輸“加密”文件，怎么能說是bug呢？應該是隱藏功能才對。（手動狗頭）

帶壓縮包的圖片地址：

https://i.imgur.com/kNhGrN3.png

David Buchanan的Twitter：

https://twitter.com/David3141593/status/1371974874856587268

項目地址：

https://github.com/DavidBuchanan314/tweetable-polyglot-png

（聲明：本文僅代表作者觀點，不代表新浪網立場。）