Cyberthreat.id - Peneliti dan programmer David Buchanan menemukan bahwa data non-gambar dapat disembunyikan dalam gambar atau dikenal dengan steganografi dan bisa diunggah di Twitter.

David mengungkapkan hal itu melalui akun Twitternya, Rabu (17 Maret 2021). Dalam postingannya itu, David mengunggah sebuah foto yang didalamnya memuat tulisan yang mengarahkan pengguna untuk menyimpan gambar itu lalu mengubah ekstensinya ke .Zip. David mengunggah foto itu dan mengklaim isi foto itu adalah data 3 megabita (MB).

"Saya menemukan cara untuk memasukkan hingga ~ 3MB data di dalam file PNG di Twitter. Ini bahkan lebih baik daripada teknik ICC JPEG saya sebelumnya, karena data yang dimasukkan berdekatan," tulis David, pengguna akun Twitter @David3141593, dikutip Kamis (18 Maret 2021).

Temuan ini memang menarik. Tetapi menurut BleepingComputer, fakta bahwa gambar dapat dihosting di situs web populer seperti Twitter dan tidak dibersihkan membuka peluang bagi penjahat menyalahgunakannya.

BleepingComputer melaporkan bahwa file yang diunggah David itu berekstensi PNG. Namun, jika disimpan dan diubah ekstensinya ke .ZIP (.PNG diganti menjadi .ZIP), maka ketika dibuka, yang muncul adalah konten yang berbeda.

Tak hanya satu foto saja, David juga memiliki satu foto yang diunggah yang perlu diubah formatnya ke .mp3 lalu dibuka melalui aplikasi pemutar berbagai file multimedia, VLC.

Ada satu pengguna yang mengikuti arahan dari David dan melampirkan sebuah video saat mencoba menyimpan dan mengubah ekstensi file yang diunggah David tersebut.

Dari video berdurasi 24 detik itu, pengguna @QkiJose2 menyimpan foto yang diunggah David lalu menambahkan ekstensi .mp3 sebelum pada akhirnya menyimpan fotonya. Kemudian, ketika foto itu dibuka, yang muncul adalah sebuah lagu.

You got me. pic.twitter.com/Tps09oX9mi— Qki クキ (@QkiJose2) March 18, 2021

Dalam pengujian oleh BleepingComputer, gambar yang diunggah David di Twitter itu berukuran 2,5 MB. File itu kemudian disimpan dalam format .mp3. Setelah diubah ke ekstensi tersebut, ketika filenya dibuka, berubah menjadi file MP3 berisi lagu berjudul Never Gonna Give You UP yang dinyanyikan oleh Rick Astley.

David membeberkan kode sumber untuk membuat foto yang disebutnya sebagai file tweetable-polyglot-png, melalui akun GitHub-nya. David mengatakan bahwa Twitter tidak menghapus data tambahan dari aliran DEFLATE, tetapi menghapus data yang tidak diperlukan dari unggahan file PNG.

"Trik baru yang saya temukan, adalah Anda dapat menambahkan data ke akhir aliran ' DEFLATE ' (bagian dari file yang menyimpan data piksel terkompresi), dan Twitter tidak akan menghapusnya," kata Buchanan dikutip dari BleepingComputer.  

Karena itu, gambar PNG yang akan diunggah itu, tidak boleh memiliki potongan metadata yang tidak diperlukan. Ukuran filenya pun, kata David, harus kurang dari 3MB atau 5MB. Jika tidak, maka file akan terkonversi dari PNG ke JPEG.

Berpotensi disalahgunakan oleh penjahat
Dengan teknik steganografi, menurut BleepingComputer, seringkali dimanfaatkan oleh pelaku ancaman karena memungkinkan menyembunyikan muatan atau konten berbahaya dalam file yang terlihat biasa saja, seperti gambar atau foto.

Dua hari lalu, BleepingComputer juga melaporkan adanya peretas yang menyembunyikan hasil kartu kredit curiannya dalam gambar JPG.

Fakta bahwa Twitter tidak selalu menghapus informasi asing dari sebuah gambar, seperti yang dicoba dan ditemukan oleh David, dapat membuka pintu bagi penjahat untuk menyalahgunakan platform.

Selain itu, ini juga menjadi tantangan bagi platform Twitter untuk memblokir lalu lintas gambar Twitter yang sekiranya memengaruhi pengoperasian yang sebenarnya sah. Misalnya, BleepingComputer mencontohkan, jika administrator jaringan memblokir domain gambar Twitter pbs.twimg.com, itu juga akan menyebabkan pemblokiran gambar sah atau yang tidak memiliki muatan berbahaya yang dihosting di Twitter.

Meskipun begitu, David berpendapat teknik steganografi melalui PNG ini mungkin tidak terlalu berguna bagi penyerang karena diluar sana masih banyak teknik steganografi lainnya yang dapat dimanfaatkan.

"Menurut saya teknik ini tidak terlalu berguna untuk penyerang, karena teknik steganografi gambar yang lebih tradisional lebih mudah diterapkan (dan bahkan lebih tersembunyi)," ujarya.

Namun, David menilai teknik PNG yang ditunjukkannya ini dapat digunakan oleh malware untuk memfasilitasi aktivitas perintah dan kontrolnya (C2) atau server untuk berkomunikasi.

"Tapi mungkin itu bisa digunakan sebagai bagian dari sistem C2, untuk mendistribusikan file berbahaya ke hosting yang terinfeksi," kata Buchanan lebih lanjut kepada BleepingComputer.

Demikian juga, mengingat Twitter dianggap sebagai host resmi atau tidak berbahaya oleh sistem pemantauan jaringan, maka distribusi malware melalui Twitter lewat file gambar juga kemungkinan menjadi metode yang bisa digunakan karena dapat melewati deteksi.

Twitter pun belum memberikan komentarnya atau tanggapannya terkait temuan David.

David mengaku telah melaporkan trik asli berbasis JPEG kepada Twitter melalui program bug bounty Twitter, hanya saja platform tidak menganggap itu sebagai bug.

"Mereka mengatakan itu bukan bug keamanan, jadi saya tidak repot-repot melaporkan yang ini kepada mereka," tutur David. Pada akhir 2018, David diberitakan oleh BleepingComputer, menemukan hal serupa tetapi dalam JPEG, di mana dia menyembunyikan karya lengkap Shakespeare menjadi sebuah gambar dan menggunakan Twitter untuk mendistribusikannya.

Menyembunyikan sesuatu dalam sebuah gambar dan disalahgunakan oleh peretas pun pernah terjadi. Menurut BleepingComputer, peretas telah menyalahgunakan layanan resmi seperti Imgur untuk menghosting gambar mereka yang kemudian digunakan untuk serangan Cobalt yang berbahaya.[]

Editor: Yuswardi A. Suud