說到為設備和數據確保安全，有很多危險需要留意，其中包括病毒、網絡釣魚活動、中招的wifi網絡和不受管束的U盤。我們在這里討論一種鮮為人知的威脅：被人做手腳的圖像。

你可能還沒有意識到這一點，但惡意軟件可以注入到看似完全正常的數字圖像中。這項攻擊技術被稱為隱匿術（steganography），即將一個文件隱藏在另一個文件中的做法，它不總是惡意為之。該方法利用了圖像附帶的隱藏數據，這些數據不一定會被轉換成屏幕上的像素。

幾乎任何圖像格式都可以經過編輯以隱藏惡意軟件，圖像越吸引人、越受歡迎，越容易被用來隱藏惡意軟件。比如說，來自詹姆斯?韋伯太空望遠鏡的圖像最近被用作惡意軟件攻擊的一部分。這些被人做手腳的圖像被上傳到網站上或者被嵌入到文檔中。

圖1. 用戶看到的不僅僅是圖像文件（來源：Adobe Photoshop Elements）。

這些只是基礎知識，但這種威脅的具體細節因攻擊而異。惡意軟件代碼可以通過幾種不同的方式嵌入到圖像中，比如說被附加到文件的末尾，通過對代碼的個別位稍加調整，或者通過更改與文件關聯的元數據（這些元數據還存儲圖像拍攝的時間和日期以及其他信息）。

在最近一次攻擊中，ObliqueRAT惡意軟件就隱藏在瀏覽器選項卡中顯示的看似普通的位圖文件中。在這種情況下，Microsoft Office電子郵件附件被用來將毫無戒心的目標引導至圖像，但也可以部署其他眾多方法——只要圖像被加載，漏洞就可以奏效。

無論細節如何，圖像都充當危險內容的載體，就像希臘傳說中的特洛伊木馬。圖像可以攜帶代碼來破壞系統、提出勒索軟件要求或開始在計算機上挖掘加密貨幣。有許多不同的變種和可能性，當然，新威脅一直層出不窮。實際上，任何文件都可以被用作載體——視頻和文檔與圖像一樣有效。

圖2.Web瀏覽器得到了充分的保護，可以防范這種威脅，但要保持版本最新（來源：Google Chrome）。

這類攻擊如此奏效的原因之一是，圖像文件比可執行文件看起來無害得多。即使你不太可能下載和運行自己一無所知的應用程序，也可能忍不住想看看別人發來的照片——如果是一張景色壯觀的深空照片，更是會忍不住一睹為快。

與其他安全威脅一樣，不法分子和安全專家一直在為保持領先一步而較量：比如說，威脅情報公司Reversing Labs有一篇出色的博文介紹了如何對附加到圖像的EXIF數據（這些數據表明了何時拍攝以及使用哪款相機）的EXIF數據做手腳，以執行代碼。這方面還有很多的例子。

此時，你可能想知道是否還應該在Web瀏覽器或電子郵件客戶端中加載圖像。如果你真的想安全起見，大多數瀏覽器實際上都有阻止這么做的設置——比如在Chrome中，從菜單中打開“設置”，然后點擊“隱私和安全”、“站點設置”和“圖像”。

圖3. 為安全起見，關閉瀏覽器中的圖像（來源：Google Chrome）。

好消息是，你的網絡瀏覽器會積極尋找在線威脅，應該關閉大多數通過圖像進行的惡意軟件攻擊，以免它們造成任何損害。計算機安全永遠得不到百分之百的保證，但如果你繼續正常加載圖像，很可能安然無恙，這歸功于瀏覽器對網站所能執行的操作予以了限制，你只要確保瀏覽器始終是最新版本。

另外值得牢記的是，你在社交媒體上看到的幾乎所有圖像都在被修改和壓縮之后才傳輸到數據服務器，這使得不法分子很難將圖像呈現在任何人的面前時仍保護完好的代碼隱藏起來。基于圖像的惡意軟件并不是一種特別常見的威脅，但仍然有必要了解，防范這種攻擊。

所有同樣的安全規則都適用于保護自己免受基于圖像的攻擊，就像應對任何其他類型的威脅一樣。確保你的程序始終在運行最新版本，打開通過電子郵件和社交媒體進來的任何內容（即使似乎來自你信任的人）要慎重，并且為了更加安心，在計算機上安裝第三方安全軟件套件。

本文翻譯自：https://gizmodo.com/malware-images-virus-photos-pictures-how-block-antiviru-1849572516