Если бы кто-то сказал вам, что внутри одного-единственного смайлика можно спрятать целый текст — от «привет» до объёмных двоичных данных, вы, скорее всего, удивились бы. Однако автор статьи Пол Батлер (Paul Butler) продемонстрировал, что Unicode и его крошечные вариационные селекторы (Variation Selectors, VS) позволяют незаметно передавать скрытую информацию. Кажется фантастикой, но устроено это довольно просто с точки зрения программирования. И стоит предупредить: хотя идея выглядит забавно, на практике она легко может стать серьёзным вектором для самых разных «хитрых» злоупотреблений.
☝️ Основная идея
Unicode знаком большинству из нас лишь в виде видимых символов: буквы, цифры, эмодзи. Но у Unicode есть очень специфический механизм «вариационных селекторов» (Variation Selectors). Они не отображаются на экране и предназначены, по задумке, для изменения стиля или формы символа. Однако в большинстве случаев эти селекторы просто игнорируются рендерером, если для символа не существует документированной вариации.
По стандарту Unicode существует:
👉 16 селекторов в диапазоне U+FE00..U+FE0F
👉 240 селекторов в диапазоне U+E0100..U+E01EF
Всего получается 256 «скрытых» кодпоинтов, что идеально совпадает со значением одного байта. Таким образом, один селектор — это один байт, а значит мы можем «прицепить» к любому символу (хоть к эмодзи, хоть к латинской букве) целую «цепочку» из вариационных селекторов. Эти добавленные символы не видны пользователю, но при копировании или пересылке они сохраняются и могут быть декодированы.
🏷️ Технические детали реализации
🧩 Формирование байта
При кодировании каждая цифра байта «64», «127» или «200» превращается в соответствующий селектор. Для байта от 0 до 15 используется диапазон U+FE00..U+FE0F, а для байта от 16 до 255 — диапазон U+E0100..U+E01EF.
🧩 Код на Rust
Пол Батлер приводит пример, где есть функция byte_to_variation_selector, возвращающая символ-селектор по переданному байту, и функция encode, которая берёт базовый символ (скажем, эмодзи) и добавляет к нему цепочку вариационных селекторов (VS). В результате получается «эмодзи с хвостом невидимых символов».
🧩 Декодирование
В обратную сторону работает функция variation_selector_to_byte, которая пытается понять, к какому диапазону относится символ. Собранные байты затем можно интерпретировать как текст (ASCII, UTF-8 или любой другой двоичный формат).
В примерах Пол использует цепочку [0x68, 0x65, 0x6c, 0x6c, 0x6f], соответствующую слову «hello», и, действительно, эта последовательность кодируется в почти обычный эмодзи, который при копировании содержит «😊\u{e0158}\u{e0155}\u{e015c}\u{e015c}\u{e015f}».
🤨 Возможно ли это злоупотребление?
Как предупреждает автор, подобные эксперименты не рекомендуется использовать в реальных проектах. Однако идеи для «нечестного» применения всё-таки напрашиваются:
🔒 Уход от модерации
Если вы вставите невидимую последовательность селекторов в текст, его не увидит человеческий модератор, и классический контент-фильтр может тоже пропустить, если он ориентирован на видимые паттерны.
🪄 Водяные знаки
В тексте можно расставлять невидимые метки, уникальные для каждого получателя документа — чтобы, если текст вдруг «утечёт», узнать, кто именно «сдал» информацию. Такие маркировки сохранится даже при копировании текста.
Впрочем, для большинства легитимных случаев есть более понятные и прозрачные решения. Но сама реализация «контрабанды байтов» выглядит очень элегантной, пусть и слегка хулиганской.
📣 Личное мнение
Лично мне эта история напоминает о том, насколько гибок и сложен стандарт Unicode. То, что мы видим на экране, часто — лишь вершина айсберга, а внутри него спрятаны тонны особых правил, исключений и «невидимых» символов. Возможность «прятать» байты в вариационные селекторы - ещё один пример, как продвинутая часть спецификации может неожиданно открыть неофициальные применения.
Для разработчиков этот пример может быть интересен в плане обучения: как легко мы можем «обмануть» систему рендеринга, и как важно учитывать валидацию входящих символов, особенно когда речь идёт о копировании текста и проверке контента. Ведь если такие селекторы не обрабатываются, может возникнуть риск не только вывода невидимых данных, но и уязвимостей при дальнейшей обработке.
🏁 Заключение
Вместо того чтобы хранить секреты в кодировках или стеганографии, можно спрятать их практически «на виду» — используя единый эмодзи с «шлейфом» невидимых символов. Конечно, это забавный трюк для любителей Unicode, однако практическое применение его небезопасно и может привести к не самым этичным результатам.
Полезные ссылки:
- Smuggling arbitrary data through an emoji — оригинальная статья Пола Батлера.
- Декодер — чтобы проверить, как работает механизм расшифровки.