Παραβιάστηκε η ασφάλεια των κλειδωμένων με κωδικό PDF εγγράφων

Ερευνητές από τα Ruhr University Bochum και Müns­ter Uni­ver­si­ty αποκάλυψαν δύο σοβαρά κενά ασφαλείας που υπάρχουν στα αρχεία PDF και υπονομεύουν την κωδικοποίηση που χρησιμοποιείται για να προστατεύονται τα δεδομένα τους.

Το πρώτο κενό ασφαλείας υπάρχει διότι "οι προδιαγραφές των αρχείων PDF επιτρέπουν την μείξη ciphertexts και plaintexts". Ο επιτιθέμενος σε αυτή την περίπτωση μπορεί να χρησιμοποιήσει "επιπρόσθετα χαρακτηριστικά των PDF αρχείων που επιτρέπουν τη φόρτωση εξωτερικών πόρων μεσω HTTP", ώστε να υποκλέψουν το περιεχόμενο του αρχείου. Με αυτή τη μέθοδο οι ερευνητές κατάφεραν να εξάγουν δεδομένα από κρυπτογραφημένα PDF αρχεία μέσω PDF forms, υπερσυνδέσμων και κώδικα Javascript που προστέθηκαν στα αρχικά έγγραφα.

Το δεύτερο κενό ασφαλείας προκύπτει από τη χρήση, στα κρυπτογραφημένα PDF, του "Cipher Block Chaining (CBC) encryption mode χωρίς έλεγχο ακεραιότητας". Αυτή η αδυναμία επιτρέπει στον επιτιθέμενο να "δημιουργήσει κομμάτια ciphertexts που αυτοαποκαλύπτονται με χρήση κακόβουλων CBS εργαλείων". 

Τα ευρήματα αυτά δεν είναι μεμονωμένα, καθώς πολλές εταιρείες αλλά και απλοί χρήστες βασίζονται στην κρυπτογράφηση των PDF αρχείων. Για παράδειγμα, η Canon και η Samsung χρησιμοποιούν κρυπτογράφηση PDF για τους σαρωτές τους, η IBM προσφέρει υπηρεσίες "PDF encryption", ενώ η συγκεκριμένη μέθοδος κρυπτογράφησης είναι ευρύτατα διαδεδομένη στις μεταφορές ιατρικών αρχείων.

Οι συγκεκριμένες αδυναμίες συναντώνται καθολικά σε όλα τα λογισμικά ανάγνωσης και επεξεργασίας PDF εγγράφων, καθώς πρόκειται για εγγενή αδυναμία των προδιαγραφών των PDF εγγράφων. Η αξιολόγηση των ευρημάτων δείχνει ότι ανάμεσα σε 27 δημοφιλή PDF viewer λογισμικά, όλα είναι ευάλωτα σε τουλάχιστον μία από τις παραπάνω αδυναμίες. Στα λογισμικά αυτά περιλαμβάνονται τα Adobe Acrobat, Foxit Reader, Evince, Okular, Chrome, Firefox. Περισσότερες πληροφορίες μπορείτε να διαβάσετε στον ιστότοπο που έχει φτιαχτεί ειδικά για το θέμα αυτό.