软件工程师发现：表情符号可隐藏“不可见”文本

IT之家 2 月 13 日报道，近期，软件工程师保罗・巴特勒（Paul Butler）发布了一篇名为“通过表情符号走私任意数据”的博客。他在文中介绍了一款他自主研发的工具，该工具使得用户能够实现数据隐藏，并对其工作机制进行了深入解析。

这个安全漏洞源于 Unicode 的一个重要缺陷，即通过不将某些数据纳入渲染流程，用户可以在任何 Unicode 字符内隐藏数据字节。Unicode 提供了一种渲染命令，允许在其后捆绑额外数据，但这部分数据并不会被显示出来。借助这一特性，用户可以在 Unicode 字符中巧妙地嵌入隐秘信息。

那么，隐藏信息在 Unicode 字符中的捆绑能力是否构成了严重威胁呢？大致上来说，不会。尽管一般用户无法察觉这些隐藏信息，计算机系统依然能够识别它们。巴特勒提到，这一特性可能被用于滥用，如绕过人工内容过滤或隐蔽性地添加水印，从而便于追踪信息泄露或识别抄袭行为。由于这一机制适用于所有 Unicode 字符，理论上用户可在网页中的每一个字符内都嵌入隐秘信息或水印。

值得庆幸的是，在这种方式下无法嵌入可执行文件、图片文件或应用程序扩展。然而，将文本隐藏起来仍可能在某些情况下引发其他问题。

IT之家了解到，尽管文章标题提到“任意数据”，但实际上用户目前只能在 Unicode 字符中隐藏文本信息，这与“任意代码执行”有所不同。后者通常涉及利用软件（包括驱动程序）中的漏洞来执行恶意代码，从而成为一种安全隐患。

因此，各位不必过于忧虑，在可预见的未来，您的系统不太可能受到隐藏在常见表情符号 Unicode 中的病毒侵袭。此外，尽管在发送的 Unicode 消息中隐蔽数据的机会几乎微乎其微，但这种可能性尽管低，也永远不可能完全消失。

广告声明：文中包含的对外跳转链接（包括不限于超链接、二维码、口令等形式），旨在传递更多信息，帮助节省甄别时间，结果仅供参考。