في بداية هذا الأسبوع ، نشر بول بتلر بول بتلر منشورًا مدونة بعنوان “Schmugmeldaten About a Emoji”. في ذلك ، قدم أداة أنشأها حتى يتمكنوا من القيام بذلك بأنفسهم وشرح كيف ولماذا تعمل الأداة.
في جوهرها ، فإن الاستغلال لديه مشكلة أساسية مع Unicode -القدرة على إخفاء البايتات من البيانات في حرف Unicode من خلال عدم تضمينه في خط أنابيب التجسيد. يحتوي Unicode على أمر عرض يمكن فيه تجميع البيانات الأخرى ولكن لم يتم تقديمه ، ويمكّن الرسائل المخفية من إنشاء أحرف Unicode بشكل فعال.
هل هذه القدرة على تجميع الأخبار المخفية بأحرف يونيكود ، مشكلة خطيرة؟ ربما لا – على الرغم من أن المستخدمين النهائيين لا يرون الرسائل السرية ، إلا أن أجهزة الكمبيوتر ستظل تراها بالترتيب ، ولا يمكن إدراج رمز قابل للتنفيذ. ومع ذلك ، يشير بتلر إلى أنه لا يزال من الممكن إساءة استخدام هذه الوظيفة لإغلاق البيانات في مرشح المحتوى البشري (وخاصة الروابط المخفية ، وما إلى ذلك) أو لاستنتاج النص المائي الدقيق ، مما قد يجعل من الممكن متابعة لعق أو أسهل في التعرف عليه. نظرًا لأن هذا ينطبق على جميع أحرف Unicode ، يمكن للمستخدم تطبيق الرسائل أو العلامات المائية المخفية من الناحية النظرية على أي علامة على موقع ويب.
لحسن الحظ ، لا يمكن التسلل إلى ملف قابل للتنفيذ أو ملف صورة أو ملحق تطبيق. ومع ذلك ، يمكن أن يسبب إخفاء النص المخفي من عيون البشر مشاكل أخرى ، خاصة إذا تم استخدام السياق الصحيح.
بينما يشير العنوان إلى “البيانات التعسفية” ، يمكن للمستخدمين إخفاء كل ما يريدونه في أحرف Unicode ، على الرغم من أن هذا يبدو أنه يقتصر على النص. هذا يختلف ، على سبيل المثال ، “تنفيذ التعليمات البرمجية التعسفية” ، حيث تفتح مشاكل الأمان نظامًا لتنفيذ التعليمات البرمجية غير المقصودة ، عادةً باستخدام فجوات في البرامج المشروعة ، بما في ذلك برنامج السائق.
لذلك لا تقلق – من غير المرجح أن تخطف نظامك فجأة من فيروس مميت سيختبئ قريبًا في Unicode من رموز تعبيرية مشتركة. إن احتمال إخفاء شخص ما في رسائل Unicode التي يتم إرسالها إليها أمر ضئيل للغاية لدرجة أنه يصبح من المستحيل تقريبًا. ومع ذلك ، فإننا نفترض أن الفرص ليست صفرًا أبدًا – خاصةً إذا جعلنا أنت والآخرين على دراية بهذا الاحتمال.
لكن لا أحد يفعل أي شيء من هذا القبيل ، أليس كذلك؟ 󠄓󠅅󠅞󠅙󠅓󠅟󠅔󠅕󠄴󠅙󠅔󠄾󠅟󠅤󠅘󠅙󠅞󠅗󠅇󠅢󠅟󠅞󠅗
