示意圖,Photo by Arron Choi on https://unsplash.com/photos/h3KptHdje50

幾名德國的大學研究人員近日發表一篇研究報告,指稱PDF的加密標準含有缺陷,將讓駭客得以取得加密文件內容,研究人員總計列出了兩類的6種攻擊形式,並說坊間的27款桌面或網路PDF程式,都至少會被其中一種攻陷。

存在於PDF加密標準的缺陷被統稱為PDFex,一來PDF的規格允許加密檔案混合密文與明文,支援部份加密,二來它所採用的密碼塊鏈接(Cipher Block Chaining,CBC)加密模式缺乏完整性檢查,因而可導致Direct Exfiltration與CBC Gadgets兩種類型的攻擊。

其中,Direct Exfiltration指的是駭客更改加密PDF檔案的結構,添加未加密的惡意物件,使得收件者在收到加密檔案,並將其解密之際,惡意物件就會將解密的內容傳送給駭客。這些惡意物件或攻擊手法可能是PDF格式、超連結或JavaScript。

對於不接受部份加密文件的PDF閱讀程式,則可採用CBC Gadgets類型的攻擊方法,它是利用各種CBC工具來汲取並竄改加密物件中的明文,目的同樣是在對方解密並開啟加密的PDF檔之後,將它傳遞給駭客,可利用PDF格式(PDF Forms)、超連結或ObjectStreams等功能展開攻擊。

不管是執行Direct Exfiltration或CBC Gadgets攻擊,駭客都不需要知道或猜測加密PDF檔案的密碼,而是透過中間人攻擊,竄改加密的PDF檔案,就能在收件方開啟檔案時收到副本。

而研究人員所測試的27款PDF閱讀程式中,沒有一款能夠倖免於難,都至少會被其中一種攻擊方式攻陷,這些程式涵蓋了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader,以及整合到Chrome、Firefox、Safari與Opera等瀏覽器的閱讀工具。


Advertisement

更多 iThome相關內容