軟件工程師發(fā)現(xiàn)：表情符號(hào)可隱藏“不可見(jiàn)”文本

IT之家 2 月 13 日消息，本周早些時(shí)候，軟件工程師保羅?巴特勒（Paul Butler）發(fā)表了一篇題為“通過(guò)表情符號(hào)走私任意數(shù)據(jù)”的博客文章。他在文章中展示了一種他自己開(kāi)發(fā)的工具，該工具可以讓用戶(hù)自行實(shí)現(xiàn)這一操作，并詳細(xì)解釋了該工具的工作原理。

這一漏洞源于 Unicode 的一個(gè)基本缺陷 —— 通過(guò)不將某些數(shù)據(jù)包含在渲染流程中，可以在任何 Unicode 字符中隱藏?cái)?shù)據(jù)字節(jié)。Unicode 包含一個(gè)渲染命令，允許在該命令之后捆綁其他數(shù)據(jù)，但這些數(shù)據(jù)不會(huì)被渲染。利用這一特性，用戶(hù)可以在 Unicode 字符中創(chuàng)建隱藏信息。

那么，這種在 Unicode 字符中捆綁隱藏信息的能力是否是一個(gè)嚴(yán)重問(wèn)題呢？大概率不是。盡管普通用戶(hù)無(wú)法看到這些秘密信息，但計(jì)算機(jī)系統(tǒng)仍然能夠正常識(shí)別它們。巴特勒指出，這一特性仍然可能被濫用，例如用于繞過(guò)人工內(nèi)容過(guò)濾（尤其是隱藏鏈接等）或在文本中隱性添加水印，從而更方便地追蹤信息泄露或識(shí)別抄襲行為。由于這一特性適用于所有 Unicode 字符，理論上用戶(hù)可以在網(wǎng)頁(yè)上的每一個(gè)字符中嵌入隱藏信息或水印。

好在是，目前無(wú)法通過(guò)這種方式嵌入可執(zhí)行文件、圖像文件或應(yīng)用程序擴(kuò)展。不過(guò)，將隱藏文本從人類(lèi)視線(xiàn)中隱藏起來(lái)仍然可能引發(fā)其他問(wèn)題，尤其是在特定的上下文中。

IT之家注意到，盡管文章標(biāo)題提到的是“任意數(shù)據(jù)”，但用戶(hù)目前只能在 Unicode 字符中隱藏文本內(nèi)容，這與“任意代碼執(zhí)行”不同。后者是一種安全問(wèn)題，通常通過(guò)利用合法軟件（包括驅(qū)動(dòng)程序）中的漏洞來(lái)執(zhí)行惡意代碼。

因此，大家無(wú)需過(guò)于擔(dān)心，在可預(yù)見(jiàn)的未來(lái)，你的系統(tǒng)不太可能被隱藏在常見(jiàn)表情符號(hào) Unicode 中的致命病毒劫持。同樣，有人在發(fā)送給你的 Unicode 消息中隱藏?cái)?shù)據(jù)的可能性也微乎其微，不過(guò)這種概率雖然極低，但永遠(yuǎn)不會(huì)是零。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。