Bu haftanın başlarında, yazılım mühendisi Paul Butler “başlıklı bir blog yazısı yayınladı”Bir emoji aracılığıyla keyfi verileri kaçırmak.“İçinde, bunu kendiniz yapmanıza izin vermek için yarattığı bir aracı sergiledi ve aracın nasıl ve neden çalıştığını açıkladı.
Esasen, buradaki istismar, Unicode ile temel bir soruna dayanmaktadır – bu verileri render boru hattına dahil etmeyerek herhangi bir Unicode karakterindeki veri baytlarını gizleme yeteneği. Unicode, diğer verilerin bir araya getirilebileceği ancak oluşturulamayacağı bir işleme komutu içerir ve kullanıcıların Unicode karakterleri içinde gizli mesajlar oluşturmasına izin veren kullanma işlemi.
Bu, Unicode karakterlerinin içindeki gizli mesajları ciddi bir sorun mu? Muhtemelen hayır – son kullanıcılar gizli mesajları görmeyecek olsa da, PC’ler yine de iyi görecektir ve yürütülebilir kodu oraya koymak mümkün değildir. Bununla birlikte, Butler, bu özelliğin hala insan içerik filtrelerini (özellikle gizli bağlantılar vb.) Geçen verileri gizlemek veya metinleri ustaca filigranlamak için istismar edilebileceğine dikkat çekiyor, bu da potansiyel olarak sızıntıları izlemeyi veya intihalin daha kolay tanımlanmasını mümkün kılmaktadır. Bu, tüm Unicode karakterleri için geçerli olduğundan, bir kullanıcı teorik olarak bir web sayfasındaki her karaktere gizli mesajlar veya filigranlar uygulayabilir.
Neyse ki, bir yürütülebilir dosyada, bir görüntü dosyasında veya uygulama uzantısında gizlice girmek mümkün değildir. Yine de, insan gözlerinden gizli metin gizlemek, özellikle uygun bağlam kullanıldığında, diğer sorunlara neden olabilir.
Başlık “keyfi veriler” anlamına gelirken, kullanıcılar Unicode karakterleri içinde istediklerini gizleyebilir, ancak bu metinle sınırlı görünmektedir. Bu, güvenlik sorunlarının, genellikle sürücü yazılımı da dahil olmak üzere meşru yazılımlarda bulunan boşluklardan yararlanarak, bir sistemi istenmeyen, kötü amaçlı kod yürütmeye açtığı “keyfi kod yürütülmesi” den farklıdır.
Bu yüzden endişelenmeyin – yakın zamanda ortak bir emojinin unicode içinde saklanan ölümcül bir virüs tarafından sisteminizin aniden kaçırılması pek olası değilsiniz. Birinin size gönderilen Unicode mesajlarında verileri gizleme olasılığı da o kadar gülünç derecede zayıftır ki, imkansız hale gelir. Bununla birlikte, şansın asla sıfır olmadığını düşünüyoruz – özellikle şimdi sizi ve başkalarını olasılık konusunda uyarırken.
Ama hiç kimse böyle bir şey yapmaz, değil mi? 🤔󠄓󠅅󠅞󠅙󠅓󠅟󠅔󠅕󠄴󠅙󠅔󠄾󠅟󠅤󠅘󠅙󠅞󠅗󠅇󠅢󠅟󠅞󠅗
