PDF加密標準含有缺陷，可讓加密文件現形

幾名德國的大學研究人員近日發布一篇研究報告，指稱PDF的加密標準含有缺陷，將讓黑客得以取得加密文件內容，研究人員總計列出了兩類的6種攻擊形式，並說坊間的27款桌面或網路PDF程序，都至少會被其中一種攻陷。

存在於PDF加密標準的缺陷被統稱為PDFex，一來PDF的配置允許加密文件混合密文與明文，支持部分加密，二來它所採用的密碼塊連接（Cipher Block Chaining，CBC）加密模式缺乏完整性檢查，因而可導致Direct Exfiltration與CBC Gadgets兩種類型的攻擊。

其中，Direct Exfiltration指的是黑客更改加密PDF文件的結構，添加未加密的惡意對象，使得收件者在收到加密文件，並將其解密之際，惡意對象就會將解密的內容發送給黑客。這些惡意對象或攻擊手法可能是PDF格式、超連接或JavaScript。

對於不接受部分加密文件的PDF閱讀程序，則可採用CBC Gadgets類型的攻擊方法，它是利用各種CBC工具來汲取並篡改加密對象中的明文，目的同樣是在對方解密並打開加密的PDF檔之後，將它傳遞給黑客，可利用PDF格式（PDF Forms）、超連接或ObjectStreams等功能展開攻擊。

不管是執行Direct Exfiltration或CBC Gadgets攻擊，黑客都不需要知道或猜測加密PDF文件的密碼，而是通過中間人攻擊，篡改加密的PDF文件，就能在收件方打開文件時收到副本。

而研究人員所測試的27款PDF閱讀程序中，沒有一款能夠幸免於難，都至少會被其中一種攻擊方式攻陷，這些程序涵蓋了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader，以及集成到Chrome、Firefox、Safari與Opera等瀏覽器的閱讀工具。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！