Chrome-extensie kan geheime boodschappen verbergen in foto's op Facebook

Een 21-jarige student heeft een Chrome-extensie uitgebracht, waarmee op eenvoudige wijze geheime boodschappen kunnen worden verborgen in foto's op Facebook. Dat was tot nu toe lastig vanwege de compressie die Facebook toepast op plaatjes.

De student aan de universiteit van Oxford in het Verenigd Koninkrijk heeft voor de ontwikkeling van de extensie achterhaald hoe Facebook foto's comprimeert en zijn bevindingen hierover gepubliceerd. De extensie met de naam Secretbook zet de boodschap een aantal keer in de afbeelding, waardoor het algoritme altijd het geheime bericht zou moeten kunnen achterhalen.

De technologie werkt door enkele pixels volgens een vast patroon subtiel van kleur te veranderen. Secretbook werkt dan ook het beste op plaatjes met veel detail; de extensie waarschuwt geen plaatjes te gebruiken met grote delen blauwe lucht, omdat de methode hierbij minder goed werkt. Hoe lager de resolutie van het plaatje is, hoe korter de boodschap is die kan worden verstuurd.

De app werkt door, na installatie, op Facebook de toetscombinatie Ctrl-Shift-A te gebruiken, waarna in een venster de boodschap, een wachtwoord en een plaatje kan worden geselecteerd. Het plaatje met de boodschap wordt vervolgens gedownload en heeft een naam als DSC0165.jpg, waardoor het lijkt alsof het van een camera afkomstig is. Dat plaatje kan vervolgens geüpload worden.

De ontvanger kan de boodschap decoderen door eveneens de applicatie te installeren, vervolgens op de foto te klikken en dan eveneens Ctrl-Shift-A te drukken. Daardoor verschijnt een venster waarin om een wachtwoord wordt gevraagd. Als dat juist is, verschijnt de boodschap in een dialoogvenster.

De maker, Owen Campbell More, maakt wel enkele voorbehouden in de voorwaarden: zo biedt de extensie geen 'military grade' encryptie en mag deze niet voor terroristische doeleinden worden gebruikt. De extensie werkt niet via een Facebook-app, maar met een extensie die opgeroepen kan worden op pagina's op Facebook. Daardoor is de applicatie niet afhankelijk van goedkeuring van Facebook. Omdat de extensie alleen lokaal draait, kan netwerkanalyse niet uitwijzen of een gebruiker de extensie heeft gebruikt.

Het inbedden van boodschappen in afbeeldingen is niet nieuw: op Google+ kan het bijvoorbeeld altijd al, omdat Google geen verdere compressie toepast op uploads. Ook in andere communicatiekanalen is deze vorm van steganografie al veel langer bekend. Niet bekend is of er andere omwegen zijn om geheime boodschappen in Facebook-plaatjes te stoppen.

SecretbookSecretbook Secretbook

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 11-04-2013 11:37 32

11-04-2013 • 11:37

32

Lees meer

Afbeelding op Twitter bevat complete werk van Shakespeare
Afbeelding op Twitter bevat complete werk van Shakespeare .Geek van 2 november 2018
Fotografen roepen camerafabrikanten op encryptie in te bouwen
Fotografen roepen camerafabrikanten op encryptie in te bouwen Nieuws van 14 december 2016
Antivirusbedrijf vraagt hulp bij kraken ransomware-encryptie
Antivirusbedrijf vraagt hulp bij kraken ransomware-encryptie Nieuws van 9 juni 2008
Nikon onder vuur wegens encryptie RAW-formaat
Nikon onder vuur wegens encryptie RAW-formaat Nieuws van 23 april 2005
Meer producten en artikelen
Internet Encryptie Facebook

Reacties (32)

-Moderatie-faq
32
29
23
7
0
0
Wijzig sortering
Tsurany 11 april 2013 11:44
Grote voordeel van deze communicatie is plausible deniability. Bij encrypted bestanden en encrypted tekst weet je direct dat het gaat om encryptie en dat er dus een boodschap achter zit. Bij deze bestanden is dat een stuk lastiger omdat op het eerste oog niks afwijkends te zien is. Vermoed dat het met professionele software wel op te sporen is aangezien er toch een patroon met afwijkende kleuren achter blijft, echter dit patroon kan heel subtiel zijn waardoor het toch lastig genoeg is te vinden.

Facebook is hier een handig middel in aangezien twee accounts foto's kunnen plaatsen met berichten er in zonder dat er ooit bewezen kan worden dat deze accounts aan elkaar verbonden zijn. Ideaal om met je vriendinnetje te communiceren door berichten in foto's te verstoppen. Zo zal je vrouw er niet achter komen, die ziet immers geen berichten heen en weer gaan.
Communicatie zonder dat er communicatie aanwezig lijkt te zijn, ideaal om te ontkennen.
Fireshade @Tsurany11 april 2013 12:46
Vermoed dat het met professionele software wel op te sporen is
Je hebt geen 'professionele software' nodig.
Diezelfde Chrome extensie laat je al gewoon zien dat er een bericht in zit: de extensie detecteert het en vraagt dan namelijk om een wachtwoord.
Alleen als je het bericht feitelijk wil lezen, moet je het wachtwoord kraken. Omdat het (nog) geen military grade encryptie is, moet dat nog enigszins overkomelijk zijn.
Afhankelijk van hoe persoonlijk de foto's zijn, kun je vaak stellen: uploader = messenger. Zeker als er een patroon van encrypted berichten in de uploads zit ;)
W4RH34D 11 april 2013 11:42
Denk dat de boodschappen dan niet meer zo geheim blijven op Facebook als iedereen het kan lezen.
Alleen geheim in de definitie van je kan het niet direct lezen.
En dit lijkt mij toch niet een manier voor mensen om geheime informatie te bespreken.

[Reactie gewijzigd door W4RH34D op 23 juli 2024 15:38]

Eagle Creek @W4RH34D11 april 2013 11:49
Hoewel de details mij enigszins onduidelijk blijven, lijkt mij dit een vorm van het Kerckhoffs's principe:
A cryptosystem should be secure even if everything about the system, except the key, is public knowledge.
Dat de afbeelding dus op Facebook staat maakt dus helemaal niets uit voor beveiliging die het biedt. Je beschikt immers niet over het wachtwoord en kan dus niet de boodschap uit de afbeelding ontrekken.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 15:38]

Monochrome @W4RH34D11 april 2013 11:49
Als het goed is kan je niet aantonen dat een afbeelding een 'geheim' bevat, behalve als je deze met een bepaald wachtwoord weet te extraheren. Het is beveiligd met een wachtwoord, dus kan zeker niet iedereen het zomaar lezen. Nu vraag je je alleen af wat voor encryption scheme zo'n jongen van 21 gekozen heeft.
CobyBE @Monochrome11 april 2013 12:05
Het is juist wel mogelijk door bepaalde technieken toe te passen op afbeeldingen. Hierdoor worden de pixels duidelijk die de geheime boodschap bevatten.

Meer informatie:
http://guillermito2.net/stegano/tools/
Anoniem: 26447 @CobyBE11 april 2013 13:14
Het is juist wel mogelijk door bepaalde technieken toe te passen op afbeeldingen. Hierdoor worden de pixels duidelijk die de geheime boodschap bevatten.

Meer informatie:
http://guillermito2.net/stegano/tools/
Tsja, maar wat ik er uit begreep is dat Facebook extra compressie toepast, waardoor je die techniek niet kan gebruiken. Zelf heb ik die Stegano ook eens geprobeerd, maar toen ik een lichte extra compressie op het plaatje toepaste was het niet meer te ontcijferen en dat is precies wat Facebook doet.
Eagle Creek @Monochrome11 april 2013 11:51
Secretbook was built as a research project in Oxford University.
Afgaande dat hij dit produceert en het onderdeel is van een project van Oxford University, lijkt mij een publiekelijk en beproefd encryption mij voor de hand te liggen.
Zoefff @W4RH34D11 april 2013 11:45
Nee dus, de tekst wordt versleuteld met een wachtwoord wat je opgeeft en deelt met degenen die je het bericht wil laten lezen. Andere mensen kunnen het bericht wel uit het plaatje vissen maar vervolgens niet ontcijferen.

Edit: Dit is een reactie op W4RH34D, niet op PieterII

[Reactie gewijzigd door Zoefff op 23 juli 2024 15:38]

poefel @Zoefff11 april 2013 12:06
Bij een goede encryptietechniek bestaat de versleutelde data ogenschijnlijk uit random bits. Dat wil zeggen, er is op geen enkele manier een patroon uit te herleiden zonder het wachtwoord. Ik neem aan dat de gebruikte methode zo werkt dat als het plaatje geen geheime boodschap bevat er ook random bits worden 'gevonden'. Je kunt dus zonder wachtwoord er niet zeker van zijn dat er überhaupt een boodschap in het plaatje zit.

(ik weet niet zeker of dit met deze methode daadwerkelijk zo is, maar in principe zou het kunnen. Zie bijvoorbeeld deze uitleg over een bestaande encryptiemethode http://www.truecrypt.org/docs/?s=plausible-deniability)

[Reactie gewijzigd door poefel op 23 juli 2024 15:38]

torp @Zoefff11 april 2013 12:01
Is het dan niet makkelijker om de boodschap rechtstreeks te delen met die mensen?
ari @torp11 april 2013 12:39
Natuurlijk, maar er is een reden dat je niet wil dat die booschap te traceren is. Anders zou je niet zo moeilijk doen.
Anoniem: 382732 @torp11 april 2013 15:10
Dat is in ieder geval makkelijker voor de autoriteiten als je een LI target bent...
Pieterll @W4RH34D11 april 2013 11:44
Er zit ook een wachtwoord op de tekst, dus niet 'iedereen' kan het zomaar lezen.
DonChaot @W4RH34D11 april 2013 11:47
je hebt nog wel een wachtwoord nodig volgens het artikel

edit: spuit elf

[Reactie gewijzigd door DonChaot op 23 juli 2024 15:38]

madmaxnl @W4RH34D11 april 2013 11:44
Ja inderdaad, dat is min of meer hetzelfde als de letterkleur wit maken als de achter grond ook wit is. CTRL+A en je kunt het lezen :P
einstein @W4RH34D11 april 2013 11:46
Quote uit het artikel: "De ontvanger kan de boodschap decoderen door eveneens de applicatie te installeren, vervolgens op de foto te klikken en dan eveneens Ctrl-Shift-A te drukken. Daardoor verschijnt een venster waarin om een wachtwoord wordt gevraagd. Als dat juist is, verschijnt de boodschap in een dialoogvenster."

Volgende keer eerst het hele artikel lezen alvorens je reageert.

Tja, het toevoegen van 'mag niet door terroristen gebruikt worden' aan je voorwaarden lijkt me niet erg nuttig. Dat is hetzelfde als 'niet voor criminelen' zetten op pistolen.

Verder aardige gadget, maar weinig vernieuwend. Alleen de Facebook link is nieuw.

edit: typo

[Reactie gewijzigd door einstein op 23 juli 2024 15:38]

Gamebuster 11 april 2013 11:47
wat moet je ermee
Eonfge @Gamebuster11 april 2013 12:06
Deze techniek is in het verleden al meerdere malen heel effectief gebruikt. Lees dit artikel van Ars Technica er maar op na:

http://arstechnica.com/te...ian-spies-outwit-the-nsa/

Het internet is zo groot dat encryptie niet eens het belangerijkste is. Gewoon een afbeelding op imgur/4chan e.d. plaatsen met een bepaalde stenograpie is al genoeg om de meest gevoelige info eenvoudig naar de andere kant van de wereld te krijgen.
Iblies
11 april 2013 11:44
Niks nieuws anders dan dat er Facebook in voorkomt. Aan de andere kant wel een manier om mensen bewust te maken dat er veel meer mogelijk op internet is dat niet altijd positief wordt gebruikt.
Flame_Flowe 11 april 2013 11:45
Ik neem aan dat dit een 'omdat het kan' functie is of is er iemand die hier echt gebruik van maakt?

Verder wel een leuke plugin om eens mee te gaan klooien :)
Clueless 11 april 2013 12:05
Om heel eerlijk te zijn zie ik de bijzonderheid hier niet van in. Dit is immer gewoon de toepassing van steganografie en dat wordt al gebruikt in de cryptografie sinds de Oudheid...

Ook de link met wat dit te maken heeft met Facebook mis ik compleet, ja je kunt er plaatjes hosten maar dat kun je net zo goed op ImgBam of voor mijn part op T.net zelf. Het enige is dat dit nu vanuit de browser met een plugin wordt afgehandeld.

Mijn inziens dus niets nieuws...
DaemonAngel @Clueless11 april 2013 12:37
Het is nieuws omdat zoals in het artikel vermeld wordt het tot nu toe onmogelijk was dit te doen door de compressie dat facebook toepast op de afbeeldingen.
poefel @Clueless11 april 2013 12:40
Behalve het feit dat deze methodes voorheen niet werkten op facebook vanwege de compressietechniek, maar nu dus wel.
Tweekzor @Clueless11 april 2013 12:46
Het vernieuwende hieraan is dat het een encryptie betreft wat ook ná de compressie van facebook nog steeds uit te lezen is.
KoploperMau 11 april 2013 11:53
Mag deze niet voor terroristische doeleinden worden gebruikt.
Alsof terroristen hiernaar zouden luisteren. :X

Verder een leuke extentie. Wil heb graag uitproberen! :D
supersnathan94 @KoploperMau11 april 2013 12:00
Ja maar Amerika. Als je daar niet in de handleiding van de magnetron kan vinden dat een hond er NIET in kan dan kan het dus.... Hup rechtszaak aan je broek.

Zelfs iTunes had in de disclaimer staan dat de software niet gebruikt mocht worden voor het maken van nucleaire of biochemische wapens.....
Anoniem: 156876 @KoploperMau11 april 2013 12:01
Als ze niet luisteren, gaan ze tegen de voorwaarden in. In dat geval heeft de extensie niet meegeholpen aan terrorisme, omdat ze er illegaal gebruik van maken. :9 Komt er op neer dat ze zichzelf indekken.
NotoriousBAS 11 april 2013 12:03
Heb je hier bronnen van, want dit vind ik zeer ongeloofwaardig klinken. Ik weet dat er in de Reddertjes 2 frames van topless dames zit maar dat was een actie van een individuele tekenaar.
Bron Wikipedia
Nog even verder gezocht en dit gevonden: Disney heeft meer problemen gehad met films. Zo zou er overduidelijk een fallus te zien zijn op de poster van de film Belle en het Beest en vormen drie kleine wolkjes in the Lion King het woord 'sex'. Maar dat valt naar mijn mening meer in de categorie "vrouw ziet Jezusverschijning in aardappel" en "man ontdekt de Nachtwacht als roestplek op zijn dak".

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq