Wist je dat je een afbeeldingsbestand kunt maken dat er op verschillende besturingssystemen totaal anders uitziet? Nou, ik deed het pas vorige week, toen ik Twitter opende en merkte dat PNG Parser trending was. De vervloekte tool maakt PNG-afbeeldingsbestanden die, dankzij een vreemde bug, totaal anders worden weergegeven op Apple- en niet-Apple-apparaten.
Als je Apple- en niet-Apple-apparaten in huis hebt, ga dan op elk apparaat naar de PNG Parser-website en kijk wat er wordt weergegeven. Zelfs als je geen twee verschillende apparaten hebt, bekijk het dan in Safari en een andere browser zoals Brave. Desktop Firefox zal ook het verschil laten zien, maar iOS Firefox gebruikt de renderer van Safari, dus het zal hetzelfde laten zien.
De maker van deze vage technologie, David Buchanan, vond het per ongeluk. Ik werkte aan een manier om PNG-bestanden met meerdere threads te decoderen en kwam een bug tegen die op leuke manieren kon worden misbruikt.
Dat plezier werd nog groter toen hij zich realiseerde dat Apple’s eigen implementatie van “parallel decodeerbare PNG’s” aan dezelfde bug lijdt. Dat eindigde met een nieuwe tool om deze samengevoegde PNG-bestanden te maken; die een afbeelding weergeven in Apple’s Safari-browser en een andere in vrijwel elke andere browser die er is.
Oké, leuke truc. Waarom zou het je iets kunnen schelen, behalve een beetje plezier? Nou, marketeers of zelfs hackers kunnen het gebruiken om verschillende afbeeldingen weer te geven aan verschillende groepen apparaten.
Het kan zelfs worden gebruikt om kwaadaardige code in te voegen. De ‘zero-click’-exploit die NSO Group gebruikte om de Pegasus-malware te installeren, maakte gebruik van een renderingbug in Apple’s CoreGraphics PDF-parser.
De PNG-parser kan op dezelfde manier worden beïnvloed. Dat zou betekenen dat een hacker een PNG-bestand kan maken dat een normale afbeelding weergeeft op niet-Apple-apparaten, maar een payload invoegt op een Apple-apparaat.
Het is ongebruikelijk dat een dergelijke bug zo lang onopgemerkt blijft. PNG’s werden in 2011 parallel verwerkt, volgens een opmerking op HackerFactor. Het lijkt erop dat dit ook moet worden gepatcht, of misschien alleen de rendering-engine in de browsers.
Heb je hier enig idee van? Laat het ons hieronder weten in de comments of neem de discussie mee naar onze Twitter of Facebook.
