不少傳統上會寄送紙本帳單的單位,如銀行、電信、水、電事業單位,隨著數位化時代提供電子帳單,並且用加密的 PDF 檔案保護用戶隱私。如今傳出資安學者發現新的攻擊手法,能截取並且偷出加密 PDF 上記載的內容,悄悄的進行不被使用者察覺。
德國的資安學者命名這一針對 PDF 攻擊手法為 PDFex,除了 Adobe Acrobat 會被影響之外,其他的 PDF 閱讀器如 Foxit Reader、Evince、Nitro,以及 Firefox 或是 Chrome 瀏覽器內建的 PDF 閱讀器,都受到影響。
PDFex 攻擊手法針對 PDF 規格當中牽涉到加密部分攻擊,而非實作到應用程式時,應用程式加密的部分。德國波鴻魯爾大學與明斯特大學的 6 名資安學者,研究出的攻擊手法能夠跨越不同的讀取 PDF 程式,表示藉由依據公開的 PDF 檔案標準採用的滲出通道 (exfiltration channels),能夠復原 PDF 檔案當中的明碼和加密過的暗碼部分。
CBC gadgets means that the ciphertext is modified to exfiltrate itself after decryption. #PDFex 5/n
— Sebastian Schinzel (@seecurity) September 30, 2019
專家指出有 3 種方案變動 PDF 檔案,添加內容到未加密的區段,就能取得加密過的內容,分別是插入 PDF 表單、連結以及 Javascript 程式碼,當使用者輸入密碼解密檔案,上述 3 種元素也會同時讀取,就能從中取得原先加密的內容了。其中插入表單方式做容易成功,插入連結或是 Javascript 因為要開瀏覽器,或是因為已經有不少人用 Javascrpit 執行惡意程式攻擊,安全考量下並不會自動執行 Javascript 程式碼。
參與研究 PDFex 的 Sebastian Schinzel 指出,由於 PDF 檔案規格允許未加密和加密的內容,而且在讀取加密內容時也沒有驗證的機制,因此造成用 PDFex 漏洞有辦法在使用者未意識到時,讀到加密的內容。
▲ 由於 PDF 檔案規格允許明碼與加密的文字混合一起,再加讀取加密片段未做好驗證,導致第三方有辦法截取加密的內容。(Source:PDF Insecurity)
11 月中時,6 位資安學者組成的研究小組,將在電腦與通訊安全主題的 ACM 大會上面,發表更多關於 PDFex 的詳情。目前有論文,網站文章,PDF Insecurity 網站說明。
- New PDFex attack can exfiltrate data from encrypted PDF files
- Researchers Find New Hack to Read Content Of Password Protected PDF Files
(首圖來源:Flickr/Christoph Scholz CC BY 2.0)
