في وقت سابق من هذا الأسبوع ، نشر مهندس البرمجيات بول بتلر منشور مدونة بعنوان “تهريب البيانات التعسفية من خلال رموز تعبيرية.” في ذلك ، عرض أداة أنشأها للسماح لك بالقيام بذلك بنفسك وشرح كيف ولماذا تعمل الأداة.
في الأساس ، يتلخص الاستغلال هنا في مشكلة أساسية مع Unicode – القدرة على إخفاء بايت للبيانات داخل أي حرف Unicode من خلال عدم تضمين تلك البيانات داخل خط الأنابيب. يتضمن Unicode أمرًا في الماضي الذي يمكن تجميع البيانات الأخرى ولكن لم يتم تقديمه ، واستغلال ذلك يتيح للمستخدمين بفعالية إنشاء رسائل مخفية داخل أحرف Unicode.
هل هذه القدرة على تجميع الرسائل المخفية داخل أحرف Unicode مشكلة خطيرة؟ ربما لا – على الرغم من أن المستخدمين النهائيين لن يروا الرسائل السرية ، فستظل أجهزة الكمبيوتر الخاصة بها على ما يرام ، ووضع التعليمات البرمجية القابلة للتنفيذ فيه غير ممكن. ومع ذلك ، يشير بتلر إلى أنه لا يزال من الممكن إساءة استخدام هذه الميزة لتسلل البيانات عبر مرشحات المحتوى البشري (وخاصة الروابط المخفية ، وما إلى ذلك) أو إلى نص مائي بمهارة ، مما قد يجعل من الممكن تتبع التسريبات أو تحديد الانتحال بسهولة أكبر. نظرًا لأن هذا ينطبق على جميع أحرف Unicode ، يمكن للمستخدم تطبيق الرسائل أو العلامات المائية المخفية نظريًا على كل حرف على صفحة ويب.
لحسن الحظ ، لا يمكن التسلل في ملف صورة قابل للتنفيذ ، أو ملحق تطبيق. ومع ذلك ، يمكن أن يسبب إخفاء النص المخفي من عيون البشر مشكلات أخرى ، خاصة عند استخدام السياق المناسب.
بينما يشير العنوان إلى “البيانات التعسفية” ، يمكن للمستخدمين إخفاء ما يريدونه ضمن أحرف Unicode ، على الرغم من أن هذا يبدو محدودًا على النص. هذا يختلف عن ، على سبيل المثال ، “تنفيذ الكود التعسفي” ، حيث تفتح مشكلات الأمان نظامًا لتنفيذ التعليمات البرمجية غير المقصودة ، عادةً عن طريق استغلال الفجوات الموجودة في البرامج المشروعة ، بما في ذلك برنامج السائق.
لذلك ، لا تقلق – من غير المرجح أن تختطف نظامك فجأة بواسطة فيروس مميت يختبئ داخل أحادي الرموز التعبيرية المشتركة في أي وقت قريب. إن احتمال إخفاء شخص ما في رسائل Unicode التي يتم إرسالها إليك أيضًا ضئيلة للغاية لدرجة أنه يصبح من المستحيل. ومع ذلك ، نفترض أن الفرص ليست صفرًا أبدًا – خاصةً عندما ننبه الآن أنت والآخرين إلى هذه الاحتمال.
لكن لا أحد يفعل شيئًا من هذا القبيل ، أليس كذلك؟ 🤔󠄓󠅅󠅞󠅙󠅓󠅟󠅔󠅕󠄴󠅙󠅔󠄾󠅟󠅤󠅘󠅙󠅞󠅗󠅇󠅢󠅟󠅞󠅗