Tyska forskare bevisar att lösenordsskyddade PDF-filer kan brytas

Du skapar en PDF-fil. Du sätter ett lösenord på det för att se till att ingen kan komma åt informationen i den. Du glömmer filen och dess säkerhet och tänker att du är 100% säker. Tyvärr bevisades det av tyska forskare från Ruhr University Bochum, FH Münster University of Applied Sciences och Hackmanit GmbH att lösenordsskyddade PDF-filer inte är oövervinnbara. Enligt forskare kan PDF-krypteringsstandarden utnyttjas med hjälp av PDF-sårbarheter, och med en attackmodell som heter PDFex har de lyckats bevisa att krypterade PDF-filer och lösenordsskyddade PDF-filer kan brytas. Utan tvekan är detta oerhört nervöst med tanke på att i vissa fall kan mycket känslig information hittas i PDF-filer.

Enligt forskarna som har hittat ett sätt att bryta med lösenordsskyddade PDF-filer, handlar det allt om chiffertext och ren text. Så vad exakt pratar vi här? Enligt whatis.com är Ciphertext texten som är krypterad och ren text är texten före kryptering. Forskare har hittat ett sätt att blanda dessa två texter och använder också vissa PDF-funktioner som gör det möjligt att ladda externa källor via HTTP, och som har erbjudit en möjlighet att utföra exfiltreringsattacker. Det betyder att om en hacker räknar ut hur man använder funktioner för chiffertext, klartext och PDF, kan de komma åt de data som lagras i filerna. Forskare har också funnit att krypterade PDF-filer inte är ogenomträngliga på grund av CBC (Cipher Block Chaining) krypteringsläge som enligt dem inte går igenom pålitliga "integritetskontroller." Det tros att den använda krypteringsalgoritmen är formbar, vilket kan ge en möjlighet att "omvandla chiffertext till en annan chiffertext som dekrypteras till en relaterad ren text", som beskrivs av denna källa.

Forskarna som upptäckte PDF-sårbarheten analyserade 27 unika PDF-tittare och 23 av dem visade sig vara sårbara för exfiltreringsattacker. PDF-tittare som var kompatibla med Windows och Linux visade sig vara sårbara, och endast Mac-kompatibla förhandsgranskare och Skim- tittare motståde direkt exfiltreringsattacker. Mozilla Firefox- och Safari-webbläsare visade sig vara pålitliga, medan Google Chrome och Opera inte var det. Tyvärr, även om ägaren till en PDF-fil endast skulle använda pålitliga tittare, kan de fortfarande vara i riskzonen. Det konstaterades också att undertecknade dokument kan förfalskas, vilket kan göra mottagarna av sådana dokument i riskzonen. Forskare testade PDFex- attacker mot signerade dokument, och det konstaterades att innehållet i dokumentet kunde ändras utan att ändra signaturen. 22 PDF-visningsapplikationer testades, och endast en motstått attacken. Av sju valideringstjänster online visade sig 5 vara sårbara. CVE-2018-16042, CVE-2018-18688 och CVE-2018-18689- korrigeringar släpptes för att säkerställa att cyberbrottslingar inte kunde utnyttja detekterade PDF-sårbarheten, och nu måste användare av Desktop PDF-tittare installera de senaste versionerna och uppdatera föråldrade versioner.

Kan den här PDF-sårbarheten hjälpa cyberbrottslingar stjäla data?

Om skaparna av PDF-tittare inte tar upp sårbarheterna och om användarna själva inte är snabba att installera nödvändiga säkerhetsuppdateringar är det alltid möjligt att den upptäckta PDF-sårbarheten kan leda till stora problem. När allt kommer omkring, cyberbrottslingar hittar ALLTID ett sätt att utnyttja även de mest obetydliga sårbarheterna, och den här är mycket större än så. Tyvärr kan lösenordsskyddade PDF-filer skapa en illusion av säkerhet. Därför kan människor välja att inkludera mycket mer känslig information. Detta är särskilt viktigt om krypterade filer skickas till andra. Sammantaget har PDF-krypteringsstandarden visat sig vara svag, och därför är data i PDF-filer inte säkra. Oavsett om du delar det - tillsammans med lösenordet - med någon annan eller om du håller det för dig själv måste du tänka två gånger innan du bestämmer dig för att lagra känslig information i PDF-filer.

Till exempel använder vissa personer lösenordsskyddade PDF-filer för att lagra lösenord, kreditkortsnummer, personnummer, kontaktinformation och andra typer av känslig information. Det känns säkert, och det kan också tyckas bekvämt eftersom en PDF-fil sparas på ett virtuellt moln, det kan nås från vilken enhet som helst. Tja, om cyberbrottslingar lyckas utnyttja PDF-sårbarheter, eller om de kan brute-force ett svagt lösenord som är tänkt att hålla informationen inåt otillgänglig för främlingar, kommer du inte att vara säker. Lyckligtvis finns det andra sätt att säkra dina personuppgifter. Ett gratis verktyg som heter Cyclonis Password Manager kan användas för att generera och hantera lösenord, och det kan också användas för att hålla känslig information borta från dem som inte ska komma åt det. All information som du väljer att skydda med Cyclonis är krypterad. Vänta lite, pratade vi inte bara om PDF-sårbarheter orsakade av dåliga krypteringsstandarder? Lyckligtvis är de krypteringsstandarder som används av Cyclonis pålitliga.

Utan tvekan måste du vara mycket försiktig och mycket selektiv när du digitaliserar personuppgifter. Nu måste du vara bekant med ordstävet att allt som publiceras online finns där för alltid. Tyvärr kan informationen vi försöker dölja med lösenordsskyddade filer och till och med den information vi skriver in när vi loggar in också bli sårbar. Därför måste du vara försiktig varje steg på vägen. Du måste vara försiktig med de PDF-tittare som du använder, informationen du lägger till i PDF-dokument, hur du delar och skyddar dessa dokument, liksom hur snabba du är att svara på nyheter om hacks eller installera de senaste uppdateringarna. Naturligtvis, även om en stor del av din virtuella säkerhet är i dina händer, kan du vara utom kontroll om tjänsteleverantörer inte kan korrigera säkerhetsproblem.

Sammanfattningsvis, om du vill vara säker, måste du fortsätta lära dig och utbilda dig själv. Det är också viktigt att du väljer hur du skyddar information och din egen identitet i den digitala världen. Kom också ihåg att lösenord är som lås, och om de är spunna och gamla, kommer de inte att motverka kraften från cyberbrottslingar. Sätt ALLTID upp de starkaste och mest unika lösenord du kan och vara försiktiga med de tjänster och applikationer du använder eftersom de i vissa fall är de svagaste länkarna.

År Foley
December 10, 2019
News
Svenska
December 10, 2019
News

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.