Os emojis também estão vulneráveis às ações de hackers, que podem manipulá-los para esconder dados e mensagens, conforme exposto pelo engenheiro de software Paul Butler.
Isso é possível através da exploração dos seletores de variação, que são caracteres especiais empregados para alterar a estética do texto, embora não alterem a sua aparência de forma notável na maioria dos casos.
Em um artigo divulgado recentemente, Butler explicou como é possível codificar mensagens dentro de emojis ou qualquer outro caractere Unicode, utilizando estes seletores.
De acordo com ele, o padrão Unicode atribui estes seletores a determinados caracteres para modificar seu estilo, mas também podem ser usados para armazenar um byte de informação cada.
Uma sequência de emojis pode, portanto, ocultar uma mensagem secreta empregando este método.
Este procedimento mantém a sequência dos seletores inalterada mesmo ao copiar e colar o texto, permitindo que alguém insira uma mensagem secreta em um emoji sem modificar a sua aparência visual, se o método correto for aplicado.
Tal modificação, no entanto, não possibilita a inserção de malware, código malicioso ou arquivos de imagem, mas apresenta algumas aplicações práticas.
Butler destacou que os emojis manipulados poderiam ser utilizados para burlar moderações humanas em determinadas mensagens e inserir marcas d'água em textos.
Com esses indicadores invisíveis, seria possível rastrear a disseminação de um trabalho, verificando se ele está sendo copiado ou alterado.
No entanto, uma pessoa sem conhecimento especializado ou ferramentas adequadas não conseguiria detectar as mensagens ocultas nos emojis manipulados.
Por outro lado, Butler mencionou que as inteligências artificiais generativas, como o Google Gemini e o ChatGPT, conseguem facilmente identificar os dados escondidos, graças à capacidade de processar os seletores de variação.
Apesar de não tentarem decodificar as mensagens automaticamente, quando confrontadas com os interpretadores de código, essas IAs revelam as mensagens secretas em questão de segundos.
Esta funcionalidade abre possibilidades para o desenvolvimento de ferramentas automatizadas de detecção, o que poderia ajudar a prevenir abusos da técnica criada por Butler.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...