Light Blue Touchpaper 今天分享了一篇题为《木马源代码:隐形漏洞的文章,其中提到了一些“酷炫”新技能充分利用人类代码审计人员难以当场抓住的目标漏洞。据报道,如果您想将漏洞引入软件,制作人可以尝试在模糊的代码片段中插入一个不显眼的代码片段“错误”。即使操作系统等关键开源项目制定了严格的人工审核流程,邪恶代码也很容易泄露。
(来自:Light Blue Touchpaper | PDF)
Ross Anderson写道:“我们发现了一种新的操作源代码文件编码的方法,特征是让人类审计员和编译器看到不同的执行逻辑”。
据报道,这种特殊的有害方法使用 Unicode 方向覆盖字符,隐藏字符下的真实代码。
研究人员证实,这种攻击已经蔓延到 C、C 、C#、JavaScript、Java、Rust、Go、以及 Python 成为一种语言,并有望扩大其他现代语言的覆盖范围。
除了 号CVE-2021-42574一般漏洞披露报告,MITRE 还指出了可用性“同形文字”(视觉上相似的字符)CVE-2021-42694攻击方法。
为了腾出时间修复漏洞,安全研究人员专门拖了 9 天才正式披露。目前,许多编译器、解释器、代码编辑器和存储库都实施了特殊的防御手段。
Ross Anderson 补充说,这次攻击的灵感来自于它最近的发生“不可检测的扰动”最新工作等。
其方向性覆盖、同形文字等 Unicode 功能用于有毒内容过滤、机器翻译等自然语言处理(NLP)基于文本的机器学习系统。
感兴趣的朋友可以移动到 trojansource.codes 项目门户,查看相关信息“木马源码”(Trojan Source)更多的攻击细节,或 GitHub查看概念验证。