Para a maioria dos formatos de arquivo, sim. Por exemplo, os arquivos PNG são compostos de fragmentos digitados, portanto, você pode adicionar um fragmento denominado aAAA
ou lOLZ
com dados arbitrários. O JPEG possui segmentos "específicos do aplicativo" APPn
; As tags Exif em JPEGs são na verdade uma estrutura TIFF completa dentro de uma tag. Outros formatos, como o GIF, não são extensíveis, mas geralmente têm um campo para comentários textuais; isso já foi abusado .
No entanto, existem maneiras de se proteger contra isso - por exemplo, sites como o Imgur processam automaticamente todos os uploads com pngcrush
ou ferramentas semelhantes, o que elimina qualquer coisa que não seja absolutamente necessária.
Mas, no final, a troca de dados não pode ser evitada. Além da steganography de imagem acima mencionada, você tem Twitter e seus clones, dezenas de pastebins (em que posts incompreensíveis são considerados bastante normais), formas de comentários de posts antigos (ainda estou tentando lembrar o livro em que isso foi sugerido), ... de forma mais realista, a maioria dos malwares simplesmente contata seus "próprios" servidores.