Ett team av tyska akademiker har utvecklat en ny attackmetod som kan extrahera och stjäla data från krypterade PDF-filer.
Den nya attacken, kallad PDFex, kommer i två versioner. Den har kunnat stjäla PDF-data i 27 stationära och webbaserade PDF-läsare inklusive Adobe Acrobat, Foxit Reader, Nitro och inbyggda PDF-läsare för Chrome och Firefox.
PDFex riktar sig faktiskt inte mot krypteringen som används på PDF-dokument av extern programvara. Istället riktar attacken sig mot krypteringsscheman som används av Portable Document Format (PDF), vilket innebär att alla PDF-filer är sårbara, oavsett vilken programvara som används för att visa dem.
Medan PDF-standarden stöder inbyggd kryptering, upptäckte ett team av sex akademiker från Ruhr-universitetet och universitetet i Münster i Tyskland problem relaterade till krypteringsstöd enligt standarden och använde dem för att skapa PDFex.
PDFex-varianter
Enligt ett blogginlägg publicerat av forskarna är krypterade PDF-dokument sårbara för två typer av kända attacker på grund av metoden som används för att utföra attacken och för att exfiltrera data.
Den första, som kallas "direkt exfiltrering", använder det faktum att PDF-programvaran inte krypterar en hel PDF-fil och lämnar vissa delar okrypterade. Genom att ändra dessa okrypterade fält kan en angripare skapa en instängd PDF-fil som kommer att försöka returnera innehållet i filen till en angripare under dekryptering och öppning.
Den andra varianten av PDFex-attacken fokuserar på delar av en krypterad PDF-fil. Med hjälp av CBC-prylar kan en angripare redigera vanlig textdata lagrad i en PDF-fil vid källan. Detta innebär att en angripare kan använda en CBC-enhet för att modifiera krypterat innehåll för att skapa instängda PDF-filer som skickar sitt eget innehåll till fjärrservrar via PDF-formulär eller URL:er.
Alla varianter av PDFex kräver en attack för att modifiera användarens krypterade PDF-filer. Men för att göra detta måste de avlyssna ett offers nätverkstrafik eller ha fysisk åtkomst till sina enheter eller lagring.
Sammantaget är PDFex en betydande sårbarhet i PDF-standarden, och forskargruppen som ansvarar för den nya attacken kommer att presentera sina resultat vid ACM-konferensen om datorsäkerhet och kommunikation nästa månad.
Genom ZDNet