Encoding Confusion: BiDi Control Characters

原始程式碼中的雙向控制字元可導致 Trojan Source 攻擊。

包含 Unicode 雙向覆寫控制字元的原始程式碼可能是內部威脅攻擊的徵兆。攻擊者可透過 C、C++、C#、Go、Java、JavaScript、Python 和 Rust 等程式設計語言的供應鏈來運用這種攻擊。Nicholas Boucher 和 Ross Anderson 已發佈數種變體攻擊，包括以下各項：Early Returns、Commenting-Out 和 Stretched Strings。
範例 1：以下程式碼顯示一個控制字元，其存在於 C 原始程式碼檔案中，會導致 Early Return 攻擊：

#include <stdio.h>

int main() {
	/* Nothing to see here; newline RLI /*/ return 0 ;
	printf("Do we get here?\n");
	return 0;
}

在 Example 1 中，從右到左隔離 (RLI) Unicode 雙向控制字元導致程式碼被視為以下內容：

#include <stdio.h>

int main() {
	/* Nothing to see here; newline; return 0 /*/
	printf("Do we get here?\n");
	return 0;
}

需要特別注意的是，開發人員在易受攻擊的編輯器/檢視器中執行程式碼檢閱時，不會明顯看到易受攻擊的編譯器將處理的內容。特別是修改程序流程的 early return 陳述式。