PDF加密协议发现严重漏洞 无需密码可获取明文内容
正如你所预期的,PDF文档加密功能在商业领域被广泛使用,它通常用于保护商业秘密,机密图像以及健康记录。甚至为了提高安全性,有些企业会以加密PDF附件的形式来发送电子邮件。
通常来说PDF加密方式被认为是安全的,不过来自波鸿鲁尔大学和芒斯特大学的研究人员近日发现了可移植文档格式(PDF)加密标准中存在“严重漏洞”,能够让攻击者捕获明文。换句话说,研究人员发现可以在没有必需的加密密钥的情况下获取加密PDF的内容。
研究人员将这些漏洞称之为“PDFex”,主要特征包括
● 即使不知道相应的密码,攻击者对已经加密的PDF文件进行处理之后也能获得部分文件内容。
● 更准确地说,PDF规范允许将密文与明文混合。结合允许通过HTTP加载外部资源的其他PDF功能,一旦受害者打开文件,攻击者就可以进行直接渗透攻击。
● PDF加密使用密码块链接(CBC)加密模式,不进行完整性检查,这意味着密文可延展性。
● 这使我们能够使用CBC延展性小工具创建自解译密文部分。我们不仅使用这种技术来修改现有的纯文本,而且还要构造全新的加密对象。
在测试中,研究人员确定了两种符合标准的攻击,它们可以破坏加密的PDF文件的机密性。测试27个顶级PDF查看器时,所有人都容易受到至少一种攻击的攻击,包括Foxit Reader,Adobe Acrobat,Chrome和Firefox等软件。
研究人员得出结论,这些问题必须在将来的PDF规范中解决,并将在下个月的ACM计算机和通信安全会议上发表他们的发现。