7 de abril de 2018

GOOGLE CHROME EMOJI. La extensión que muestra los “caracteres invisibles” ocultos la web

Los caracteres invisibles suelen ser un tipo de caracteres unicode que no podemos ver a simple vista, por ejemplo, el zero-width space, un espacio que no ocupa ancho en el texto y que se puede camuflar junto a cualquier otro texto, o los zero-width non-joiner, signos de puntuación igualmente invisibles.
Aunque estos caracteres no son visibles para el ojo humano, si se convierten a código binario se puede ver que, en realidad, sí existen, y tienen un código característico, por lo que es posible revelarlos fácilmente convirtiendo ese trozo de código binario en otro carácter, algo de lo que se encarga la siguiente extensión.
Replace zero-width characters with emojis, la extensión para Google Chrome que convierte los caracteres ocultos en emojis
Mientras que revelar este tipo de técnicas suele ser bastante complicado y, a menudo, requiere el uso de herramientas avanzadas para sistemas Linux que identifiquen estas cadenas binarias, gracias a esta nueva extensión, que podemos descargar de forma gratuita desde la Chrome Store, vamos a poder revelar estos caracteres convirtiéndolos en emojis.
Una vez instalada la extensión podremos ver un nuevo icono que nos aparece a la derecha de la barra de direcciones de Chrome. Esta extensión no se ejecuta automáticamente cada vez que cargamos una web, sino que, para comprobar si oculta estos caracteres y revelarlos es necesario pulsar sobre el icono.
Si queremos hacer una prueba con este tipo de caracteres invisibles, la página (https://umpox.github.io/zero-width-detection/ ) nos permite codificar un mensaje utilizando caracteres invisibles y descodificar el mensaje, relevando su contenido real. Además, si utilizando esta página junto a la extensión podemos convertir estos caracteres invisibles en emojis.
Sí es cierto que este tipo de técnicas no suelen estar muy extendidas por la red, por lo que será complicado encontrar una página que realmente esconda este tipo de contenido. Lo que sí es seguro es que es una técnica real, y, además, muy útil para saber si alguien está copiando nuestro código de nuestra web o de un documento para distribuirlo sin consentimiento.
Fuente: bleepingcomputer