本周早些时候,软件工程师保罗·巴特勒(Paul Butler)发表了一篇题为“通过表情符号传递任意数据”的博客文章。他在文章中展示了一个自己开发的工具,并详细解释了该工具的工作原理。本质上,这一现象源于 Unicode 的一个基础问题:可以在任何 Unicode 字符中隐藏数据字节,只要这些数据不进入渲染流程即可。Unicode 包含一个渲染命令,其他数据可以捆绑在该命令之后,但不会被渲染。利用这一特性,用户可以在 Unicode 字符中嵌入隐藏信息。
那么,这种在 Unicode 字符中嵌入隐藏信息的能力是否是一个严重问题呢?大概率不是。虽然终端用户无法看到这些隐藏信息,但计算机仍然可以正常识别,而且无法在其中嵌入可执行代码。不过,巴特勒指出,这一特性仍有可能被滥用,比如绕过人工内容过滤器(尤其是隐藏链接等),或者给文本添加微妙的水印,从而更方便地追踪信息泄露或识别抄袭行为。由于这一特性适用于所有 Unicode 字符,理论上用户可以在网页上的每个字符中嵌入隐藏信息或水印。
幸运的是,目前无法在其中嵌入可执行文件、图像文件或应用程序扩展。尽管如此,隐藏文本可能会引发其他问题,尤其是在特定情境下。文章中提到的“任意数据”与“任意代码执行”不同。后者涉及安全问题,可能使系统面临意外的恶意代码执行,通常是通过利用合法软件(包括驱动程序)中的漏洞实现的。而前者仅限于在 Unicode 字符中隐藏文本内容。
所以,大家不必过于担心。你的系统不太可能被隐藏在常见表情符号 Unicode 中的致命病毒突然劫持。某人将数据隐藏在发送给你的 Unicode 消息中的可能性也非常低,几乎可以忽略不计。不过,这种可能性虽然微乎其微,但也不能完全排除,毕竟我们已经向大家提醒了这种潜在风险。
总的来说,虽然这种技术在理论上存在,但在实际应用中几乎不会对普通用户造成威胁。
