Даже эмодзи не в безопасности от хакеров — смайлы могут использоваться для сокрытия данных, утверждают исследователи

Исследователь нашел способ добавления невидимого текста в эмодзи

Скорее всего, его нельзя использовать для распространения вредоносного ПО... скорее всего. Однако метод может быть полезен для создания водяных знаков или обхода человеческого модерирования.

Британский исследователь безопасности Пол Батлер объяснил, как он экспериментировал с Unicode и придумал способ, который использует вариационные селекторы (специальные символы, предназначенные для изменения внешнего вида текста, но не влияющие на большинство символов). Связывая эти селекторы вместе, он смог закодировать невидимые сообщения внутри эмодзи (или любого другого Unicode-символа).

Вот как это работает: Unicode присваивает вариационные селекторы (U+FE00–U+FE0F и U+E0100–U+E01EF) определенным символам, обычно для корректировки стилистического отображения. Однако эти селекторы могут использоваться для хранения одного байта данных каждый. Поскольку последовательность этих селекторов сохраняется даже при копировании и вставке текста, можно вставить секретное сообщение внутри эмодзи без изменения его видимого внешнего вида.

Транспортировка данных

Похоже, этот метод нельзя использовать для тайного распространения вредоносных программ или злонамеренного кода, расширений приложений или чего-то подобного. Однако он может быть использован для обхода человеческого модерирования или создания водяных знаков для чувствительных документов. Например, с помощью этих невидимых водяных знаков автор может отслеживать копирование и распространение своего контента по интернету.

Разговор о потенциальных защитных мерах Батлер отметил, что искусственный интеллект (ИИ) может быть полезным. Хотя некоторые модели ИИ, такие как OpenAI's GPT и Google's Gemini, сохраняют вариационные селекторы, они не пытаются декодировать скрытые сообщения естественным образом. Однако, когда эти системы сочетаются с интерпретаторами кода, они успешно извлекают секретные сообщения за считанные секунды. Это предполагает возможность разработки автоматических средств обнаружения для противодействия возможному злоупотреблению.

В общем и целом это можно рассматривать как интересное свойство Unicode. В настоящее время крайне маловероятно, что кто-то сможет разработать злонамеренное применение этого метода.