PeopleTec：ICO图标真的能藏恶意代码吗？

发布时间：2025-09-25 22:39:32

❤️点点关注，每日更新50篇论文，不错过任何科研进展!\n————————————————————\n❓Favicon Trojans 是什么？\n这项研究由 David Noever 和 Forrest McKee 等人完成，作者隶属于 PeopleTec, Inc.（美国阿拉巴马州亨茨维尔）。论文提出了一种全新的可执行隐写术方法，利用 ICO 图像文件的 alpha 透明通道，将自解压 JavaScript 代码隐藏在网页浏览器中的网站图标（favicon）里。通过修改非透明像素的 alpha 通道最低有效位（LSB），可以在不改变图标视觉效果的前提下，悄悄嵌入压缩后的 JavaScript 代码。\n \n❓这种方法是怎么实现的？\n研究团队首先将 JavaScript 代码进行压缩（如 zlib 或自定义 LZ 压缩），再把压缩后的数据嵌入 ICO 文件中所有非完全透明像素的 alpha 通道的 LSB。嵌入过程保证了不可察觉性，肉眼无法分辨原始图标和携带隐藏代码的图标有何不同。每当浏览器加载带有隐藏代码的 favicon 时，一个简单的加载器脚本会通过原生 JavaScript API 和 canvas 像素访问功能，从图像中提取并在内存里解压和执行这些代码。这形成了一个无需额外网络请求或人工操作的双阶段隐蔽通道。\n \n❓实际效果如何？\n论文的原型实现表明，一个 64×64 的 ICO 图像最多可嵌入 512 字节的未压缩数据，采用双重轻量压缩后可达 0.8KB。测试覆盖了主流浏览器（Chrome、Safari、Edge）在桌面和移动环境下，证实隐藏脚本能够成功且悄无声息地执行，不会被用户察觉。由于 favicon 会在每次页面加载时自动请求，这种方法可以实现持续的恶意代码运行，同时不在受害者设备上留下可疑痕迹，贴合“无文件”恶意软件的发展趋势。#网络安全 #浏览器安全 #信息隐藏 #PeopleTec #果壳智算