Бубен больше не помогает?
Image

Мы вскрываем схемы, пока их прячут

Чат для тех, кто чинит сети головой и руками. Реальный опыт, а не магия.

Любовь в воздухе, а команды — в трафике. Рассказываем, как спрятать вирус за вашей лучшей фотографией.

Hinge CDN стеганография приложение знакомства
Любовь в воздухе, а команды — в трафике. Рассказываем, как спрятать вирус за вашей лучшей фотографией.
Hinge CDN стеганография приложение знакомства

Как приложение для знакомств Hinge можно превратить в канал управления вредоносами через обычные фото профиля.

image

Исследователь показал необычный сценарий, как популярное приложение для знакомств Hinge можно превратить в импровизированный командный сервер, то есть в инфраструктуру, через которую злоумышленники раздают команды и передают данные вредоносным программам. Идея звучит как трюк ради эксперимента, но автор подчёркивает, что при желании такой подход может быть полезен реальным атакующим, потому что прячется среди обычного пользовательского трафика.

Суть демонстрации в том, что в Hinge можно загружать фото и видео, а контент затем хранится на CDN и раздаётся по ссылкам. Автор собрал прототип, который превращает двоичные данные в картинку из цветных пикселей, по сути в примитивную стеганографию. После загрузки сервис обрабатывает изображение перед сохранением, из-за чего надёжно спрятать данные сложнее. Но исследователь считает, что это скорее ограничение для новичков, чем непреодолимый барьер, и намекает, что более аккуратные методы могли бы пережить такую обработку.

Зашифрованное изображение (Matt Wiese)

Отдельное внимание он уделяет тому, что часть данных профиля можно получить через недокументированные запросы, если знать внутренний идентификатор пользователя. В ответах якобы возвращаются ссылки на фотографии и другие элементы профиля. Для легитимного пользователя это выглядит как обычная работа приложения, но для атакующего подобная предсказуемая выдача контента может стать каналом связи, через который удобно раздавать зашифрованные инструкции и обновления.

Чтобы разобраться в сетевом обмене, автор использовал перехват трафика на Android и утверждает, что приложение не применяет жёсткую проверку сертификатов, из-за чего анализ можно упростить. В тексте он также описывает, как модифицировал конфигурацию приложения для перехвата, но сам подчёркивает, что это исследовательский сценарий и он не подходит под стандартное раскрытие уязвимостей через баг-баунти.

Практический вывод здесь не в том, что Hinge прямо сейчас стал готовой платформой для атак, а в том, что любые массовые сервисы с пользовательским контентом могут непреднамеренно превращаться в удобные транспортные каналы. Для платформы это повод внимательнее смотреть на приватность доступа к медиа, на устойчивость API к перебору идентификаторов и на защиту сетевого взаимодействия.

Для пользователей это ещё одно напоминание о базовой гигиене: не повторять пароли, включать защиту аккаунта и с осторожностью относиться к любым странным ссылкам, даже если они выглядят как обычные медиа из привычного приложения.