2 月 13 日消息，本周早些時候，軟件工程師保羅・巴特勒(Paul Butler)發表了一篇題為“通過表情符號走私任意數據”的博客文章。他在文章中展示了一種他自己開發的工具，該工具可以讓用戶自行實現這一操作，并詳細解釋了該工具的工作原理。

　　這一漏洞源于 Unicode 的一個基本缺陷 —— 通過不將某些數據包含在渲染流程中，可以在任何 Unicode 字符中隱藏數據字節。Unicode 包含一個渲染命令，允許在該命令之后捆綁其他數據，但這些數據不會被渲染。利用這一特性，用戶可以在 Unicode 字符中創建隱藏信息。

　　那么，這種在 Unicode 字符中捆綁隱藏信息的能力是否是一個嚴重問題呢?大概率不是。盡管普通用戶無法看到這些秘密信息，但計算機系統仍然能夠正常識別它們。巴特勒指出，這一特性仍然可能被濫用，例如用于繞過人工內容過濾(尤其是隱藏鏈接等)或在文本中隱性添加水印，從而更方便地追蹤信息泄露或識別抄襲行為。由于這一特性適用于所有 Unicode 字符，理論上用戶可以在網頁上的每一個字符中嵌入隱藏信息或水印。

　　好在是，目前無法通過這種方式嵌入可執行文件、圖像文件或應用程序擴展。不過，將隱藏文本從人類視線中隱藏起來仍然可能引發其他問題，尤其是在特定的上下文中。

　　IT之家注意到，盡管文章標題提到的是“任意數據”，但用戶目前只能在 Unicode 字符中隱藏文本內容，這與“任意代碼執行”不同。后者是一種安全問題，通常通過利用合法軟件(包括驅動程序)中的漏洞來執行惡意代碼。

　　因此，大家無需過于擔心，在可預見的未來，你的系統不太可能被隱藏在常見表情符號 Unicode 中的致命病毒劫持。同樣，有人在發送給你的 Unicode 消息中隱藏數據的可能性也微乎其微，不過這種概率雖然極低，但永遠不會是零。