在过去的一年中,RUB的IT安全专家发现了PDF文档数字签名的几个安全问题s. Credit: RUB,Kramer Ruhr-university t Bochum的研究人员发现了PDF文档认证签名中的一个安全问题。例如,这种特殊形式的签名PDF文件可以用来签订合同。与普通的PDF签名不同,认证签名允许在实际签名后对文档进行某些更改。这对于允许第二合同方也签署文件是必要的。波鸿霍斯特·戈尔茨信息技术安全研究所的团队表明,第二个合同条款也可以在他们添加数字签名时不被注意地更改合同文本,而不会使认证无效。研究人员还发现了Adobe产品的一个弱点,该弱点使攻击者能够将合法代码植入文档。西蒙·罗曼、弗拉迪斯拉夫·姆拉德诺夫博士、克里斯蒂安·美因卡博士和网络和数据安全主席约尔格·施文克教授将在2021年5月24日至27日举行的第42届IEEE安全和隐私研讨会上介绍研究结果。该团队还在pdf-insecurity.org网站上公布了研究结果。
26项申请中有24项受到影响
当使用认证签名时,首先发布文档并签名的一方可以决定另一方可以进行哪些更改。例如,可以添加注释,将文本插入特殊字段,或者在文档底部添加第二个数字签名。波鸿集团通过两种新的攻击——偷偷签名攻击(SSA)和邪恶注释攻击(EAA),规避了受保护PDF文档的完整性。因此,研究人员能够在文档中显示虚假内容,而不是认证内容,而不会导致认证无效或触发PDF应用程序的警告。
信息技术安全专家测试了26个PDF应用程序,其中24个能够通过至少一次攻击破坏认证。在11个应用程序中,PDF认证的规范也实施不正确。详细结果已在网上公布。
恶意代码可以被植入Adobe文档
除了上述安全漏洞,霍斯特·戈尔茨研究所的团队还发现了Adobe产品中的一个弱点。经过认证的Adobe文档可以执行JavaScript代码,例如访问网址来验证用户的身份。研究人员表明,攻击者可以使用这种机制将恶意代码植入经过认证的文档。例如,这使得当文档被打开时,通过向攻击者发送用户的IP地址和使用的PDF应用程序的信息来暴露用户的隐私成为可能。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!