Biểu tượng cảm xúc có thể bị hack để ẩn dữ liệu hoặc tin nhắn, các ký tự Unicode cũng dễ bị ảnh hưởng
Đầu tuần này, kỹ sư phần mềm Paul Butler đã đăng một bài viết trên blog với tiêu đề "Buôn lậu dữ liệu tùy ý qua biểu tượng cảm xúc". Trong bài viết, ông giới thiệu một công cụ mà ông tạo ra để người dùng có thể thực hiện việc này và giải thích cách thức cũng như lý do công cụ hoạt động. Về cơ bản, lỗ hổng này xuất phát từ một vấn đề cơ bản với Unicode - khả năng ẩn byte dữ liệu trong bất kỳ ký tự Unicode nào bằng cách không đưa dữ liệu đó vào quy trình hiển thị.
Unicode cho phép chèn lệnh để đóng gói dữ liệu khác mà không hiển thị, từ đó người dùng có thể tạo ra các thông điệp ẩn. Tuy nhiên, khả năng này không phải là vấn đề nghiêm trọng, vì người dùng cuối không thấy thông điệp bí mật, nhưng máy tính vẫn nhận diện được. Hơn nữa, việc chèn mã thực thi vào đó là không thể.
Tuy nhiên, Butler chỉ ra rằng tính năng này có thể bị lạm dụng để qua mặt các bộ lọc nội dung con người, đặc biệt là các liên kết ẩn, hoặc để đánh dấu văn bản một cách tinh vi, giúp dễ dàng theo dõi rò rỉ thông tin hoặc xác định đạo văn. Vì tính năng này áp dụng cho tất cả các ký tự Unicode, người dùng có thể lý thuyết áp dụng thông điệp hoặc dấu hiệu ẩn cho từng ký tự trên trang web. May mắn thay, việc chèn tệp thực thi, tệp hình ảnh hoặc phần mở rộng ứng dụng là không thể.
Việc ẩn văn bản khỏi con người có thể gây ra các vấn đề khác, đặc biệt khi sử dụng ngữ cảnh thích hợp. Mặc dù tiêu đề đề cập đến dữ liệu tùy ý, người dùng có thể ẩn bất kỳ thứ gì họ muốn trong các ký tự Unicode, nhưng điều này dường như chỉ giới hạn ở văn bản. Điều này khác với việc thực thi mã tùy ý, khi các vấn đề bảo mật có thể mở hệ thống cho mã độc không mong muốn, thường bằng cách khai thác những lỗ hổng trong phần mềm hợp pháp, bao gồm cả phần mềm điều khiển.
Vì vậy, đừng lo lắng— khả năng hệ thống của bạn bị nhiễm virus từ một emoji thông dụng là rất thấp. Khả năng ai đó giấu dữ liệu trong tin nhắn Unicode gửi cho bạn cũng rất nhỏ, gần như không thể. Tuy nhiên, khả năng này không bao giờ bằng không, đặc biệt khi chúng tôi đã cảnh báo bạn và mọi người về điều đó.
Nhưng không ai lại làm điều đó, đúng không? 🤔
Nguồn: www.tomshardware.com/tech-industry/emojis-can-be-hacked-to-hide-data-or-messages-unicode-characters-also-susceptible