几名德国的大学研究人员近日发布一篇研究报告,指称PDF的加密标准含有缺陷,将让黑客得以取得加密文件内容,研究人员总计列出了两类的6种攻击形式,并说坊间的27款桌面或网络PDF程序,都至少会被其中一种攻陷。
存在于PDF加密标准的缺陷被统称为PDFex,一来PDF的配置允许加密文件混合密文与明文,支持部分加密,二来它所采用的密码块连接(Cipher Block Chaining,CBC)加密模式缺乏完整性检查,因而可导致Direct Exfiltration与CBC Gadgets两种类型的攻击。
其中,Direct Exfiltration指的是黑客更改加密PDF文件的结构,添加未加密的恶意对象,使得收件者在收到加密文件,并将其解密之际,恶意对象就会将解密的内容发送给黑客。这些恶意对象或攻击手法可能是PDF格式、超连接或JavaScript。
对于不接受部分加密文件的PDF阅读程序,则可采用CBC Gadgets类型的攻击方法,它是利用各种CBC工具来汲取并篡改加密对象中的明文,目的同样是在对方解密并打开加密的PDF档之后,将它传递给黑客,可利用PDF格式(PDF Forms)、超连接或ObjectStreams等功能展开攻击。
不管是执行Direct Exfiltration或CBC Gadgets攻击,黑客都不需要知道或猜测加密PDF文件的密码,而是通过中间人攻击,篡改加密的PDF文件,就能在收件方打开文件时收到副本。
而研究人员所测试的27款PDF阅读程序中,没有一款能够幸免于难,都至少会被其中一种攻击方式攻陷,这些程序涵盖了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader,以及集成到Chrome、Firefox、Safari与Opera等浏览器的阅读工具。