圖片也能是病毒？解析駭客圖像攻擊術

駭客如何用一張圖片感染你的手機？點圖就中毒的原理解析

你是否曾在社群平台、即時通訊軟體上收到朋友傳來的一張搞笑圖片、表情包，或者一張看起來毫無威脅的 JPG 圖片？你會直接點開它嗎？

許多人以為「只是一張圖片」，不會有什麼危險。但實際上，圖片格式早已被駭客武器化。透過特殊編碼，一張看似無害的圖片就能潛藏惡意程式碼，並在你打開時觸發感染流程。

這類「點圖就中毒」的攻擊手法，稱為圖像型漏洞攻擊，歷年來在 Android、iOS、Windows 系統上都有真實案例，甚至無需你點擊，只要圖片出現在聊天室中，手機就可能被入侵。

歡迎造訪官網【駭客脈動中心】 www.hackpulse.net

技術諮詢請聯絡Telegram:@HackPulse_Central

圖片也能當病毒？真實案例警惕你我

2016 年，資安公司 Check Point 發現 Facebook 和 WhatsApp 中流傳著一張名為「ImageGate」的圖片。表面看起來是普通的 JPG，但實際上圖片內嵌了惡意 JavaScript 程式碼。使用者只要點開圖片觀看，就會觸發漏洞，讓駭客遠端控制受害者的手機。

2017 年，Google 公布了一個關鍵漏洞編號 CVE-2017–0752，該漏洞存在於 Android 系統處理 PNG 圖片的函式庫中。駭客只要發送一張經過特製的 PNG 檔案，即可在毫無用戶互動的情況下觸發遠端程式碼執行。使用者甚至無需點擊，只要圖片在通知中顯示，手機就可能中毒。

iOS 也曾出現類似案例。2020 年研究人員發現，iMessage 中某些圖片格式處理錯誤，能讓駭客透過一張圖片對 iPhone 進行零點擊攻擊。這類攻擊無需點擊，無需下載，連接收訊息都會自動觸發。

技術拆解：圖片如何成為惡意武器？

圖片之所以能被用來攻擊，原因來自於「圖片格式解析器」的漏洞。手機系統在顯示圖片時，需要先解析圖片的內部數據。若這段解析程式存在漏洞，駭客就能刻意設計特定圖片，來操縱系統行為。

攻擊流程大致如下：

1. 駭客將惡意程式碼藏進圖片的 metadata、顏色通道或其他結構區塊，使之仍然符合圖片格式規範，看起來是一張正常的圖。

2. 當手機開啟這張圖片時，系統會透過圖片解析器自動解讀其內容。在處理過程中，若有溢位、型別錯誤、緩衝區錯誤等漏洞，就可能被惡意程式碼利用。

3. 成功利用後，駭客可以遠端執行指令、下載木馬、開啟麥克風、監控螢幕等，甚至取得整支手機的控制權。

這類攻擊難以防範，因為使用者的直覺認為「圖片」是被動資料，不可能帶來風險。但實際上，圖片是最容易被偽裝的攻擊載體之一。

如何防範圖片型攻擊？五個務實建議

第一，永遠不要隨意點開不明來源的圖片，即使它是從朋友那裡傳來。駭客常會先入侵一個帳號，再用該帳號向他人發送惡意檔案。

第二，將手機作業系統和所有應用程式保持最新版本。大多數圖片解析器漏洞都會在更新中被修補，延遲更新就等於讓自己暴露在已知風險之下。

第三，關閉不必要的自動下載與預覽功能。例如在 Telegram 或 LINE 中，關閉自動載入圖片的選項，可以降低無點擊攻擊的風險。

第四，避免使用來源不明的第三方圖片瀏覽器、解壓縮器或相簿 App，這些軟體若無良好開發與安全維護，可能成為圖片漏洞的引爆點。

第五，使用具備即時偵測的資安 App。雖然無法百分之百防堵未知威脅，但能大幅提高被攻擊時的察覺機率與反應速度。

延伸思考：圖片攻擊是現代駭客的完美武器

圖片攻擊之所以令人恐懼，不只是因為技術手法高明，更因為它打破了人們對「安全媒介」的既有認知。一張圖片，不再只是影像，而是可以藏有命令、程式碼與入侵後門的數位炸彈。

駭客正是利用人們對於「圖片無害」的錯誤想像，悄悄進入你的手機、監控你的生活、竊取你的資料。這類攻擊的成功關鍵不在於技術多複雜，而在於你我有多輕忽。

下一次當你看到朋友傳來的圖片時，請問自己一句：這張圖片真的安全嗎？

#圖片攻擊 #資安科普 #手機防駭 #惡意圖片 #點圖中毒 #圖像漏洞 #資安漏洞 #數位隱私 #Android資安 #iOS安全