Los emojis pueden ser hackeados para ocultar datos o mensajes

Iniciado por AXCESS, Febrero 13, 2025, 04:43:01 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 13, 2025, 04:43:01 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A principios de esta semana, el ingeniero de software Paul Butler publicó una entrada de blog titulada "Contrabando de datos arbitrarios a través de un emoji". En ella, mostró una herramienta que creó para permitirle hacer esto a usted mismo y explicó cómo y el por qué funciona la herramienta.

Básicamente, el exploit aquí se reduce a un problema fundamental con Unicode: la capacidad de ocultar bytes de datos dentro de cualquier carácter Unicode simplemente no incluyendo esos datos dentro del flujo de procesamiento. Unicode incluye un comando de procesamiento más allá del cual se pueden agrupar otros datos pero no se pueden procesar, y explotar eso permite efectivamente a los usuarios crear mensajes ocultos dentro de caracteres Unicode.

¿Esta capacidad de agrupar mensajes ocultos dentro de caracteres Unicode es un problema grave?

 Probablemente no: aunque los usuarios finales no verán los mensajes secretos, las PC los verán bien y no es posible colocar código ejecutable allí. Sin embargo, Butler señala que esta característica aún podría ser abusada para pasar datos por encima de los filtros de contenido humanos (especialmente enlaces ocultos, etc.) o para marcar sutilmente el texto, lo que potencialmente haría posible rastrear filtraciones o identificar plagio más fácilmente. Dado que esto se aplica a todos los caracteres Unicode, un usuario podría teóricamente aplicar mensajes ocultos o marcas de agua a cada carácter de una página web.

Afortunadamente, no es posible introducir de forma clandestina un ejecutable, un archivo de imagen o una extensión de aplicación. Sin embargo, ocultar texto oculto a la vista humana podría causar otros problemas, especialmente cuando se utiliza el contexto adecuado.

Aunque el título hace referencia a "datos arbitrarios", los usuarios pueden ocultar lo que quieran dentro de los caracteres Unicode, aunque esto parece limitarse al texto. Esto es diferente de, por ejemplo, la "ejecución de código arbitrario", donde los problemas de seguridad abren un sistema a la ejecución de código malicioso no deseado, normalmente explotando lagunas presentes en el software legítimo, incluido el software del controlador.

Así que no te preocupes: es muy poco probable que tu sistema sea secuestrado de repente por un virus mortal escondido dentro del Unicode de un emoji común en un futuro próximo. La probabilidad de que alguien oculte datos en los mensajes Unicode que te envían es también tan ridículamente escasa que se vuelve casi imposible. Sin embargo, suponemos que las probabilidades nunca son cero, sobre todo cuando ahora te estamos alertando a ti y a otros sobre la posibilidad.

Más detalles de cómo se hace:

"Smuggling arbitrary data through an emoji"
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
Smuggling arbitrary data through an emoji
Paul Butler
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario