不少传统上会寄送纸本账单的单位,如银行、电信、水、电事业单位,随着数字化时代提供电子账单,并且用加密的 PDF 档案保护用户隐私。如今传出资安学者发现新的攻击手法,能截取并且偷出加密 PDF 上记载的内容,悄悄的进行不被使用者察觉。
德国的资安学者命名这一针对 PDF 攻击手法为 PDFex,除了 Adobe Acrobat 会被影响之外,其他的 PDF 阅读器如 Foxit Reader、Evince、Nitro,以及 Firefox 或是 Chrome 浏览器内建的 PDF 阅读器,都受到影响。
PDFex 攻击手法针对 PDF 规格当中牵涉到加密部分攻击,而非实作到应用程序时,应用程序加密的部分。德国波鸿鲁尔大学与明斯特大学的 6 名资安学者,研究出的攻击手法能够跨越不同的读取 PDF 程式,表示借由依据公开的 PDF 档案标准采用的渗出通道 (exfiltration channels),能够复原 PDF 档案当中的明码和加密过的暗码部分。
CBC gadgets means that the ciphertext is modified to exfiltrate itself after decryption. #PDFex 5/n
— Sebastian Schinzel (@seecurity) September 30, 2019
专家指出有 3 种方案变动 PDF 档案,添加内容到未加密的区段,就能取得加密过的内容,分别是插入 PDF 表单、连结以及 Javascript 程式码,当使用者输入密码解密档案,上述 3 种元素也会同时读取,就能从中取得原先加密的内容了。其中插入表单方式做容易成功,插入连结或是 Javascript 因为要开浏览器,或是因为已经有不少人用 Javascrpit 执行恶意程式攻击,安全考量下并不会自动执行 Javascript 程式码。
参与研究 PDFex 的 Sebastian Schinzel 指出,由于 PDF 档案规格允许未加密和加密的内容,而且在读取加密内容时也没有验证的机制,因此造成用 PDFex 漏洞有办法在使用者未意识到时,读到加密的内容。
▲ 由于 PDF 档案规格允许明码与加密的文字混合一起,再加读取加密片段未做好验证,导致第三方有办法截取加密的内容。(Source:PDF Insecurity)
11 月中时,6 位资安学者组成的研究小组,将在电脑与通讯安全主题的 ACM 大会上面,发表更多关于 PDFex 的详情。目前有论文,网站文章,PDF Insecurity 网站说明。
- New PDFex attack can exfiltrate data from encrypted PDF files
- Researchers Find New Hack to Read Content Of Password Protected PDF Files
(首图来源:Flickr/Christoph Scholz CC BY 2.0)
