德国研究人员证明可以保护受密码保护的PDF文件

您创建一个PDF文件。您在上面输入了密码，以确保没有人可以访问其中的信息。您以为100％安全就忘记了文件及其安全性。不幸的是，来自波鸿鲁尔大学，明斯特应用科学大学和Hackmanit GmbH的德国研究人员证明，密码保护的PDF文件是不可战胜的。研究人员称，可以使用PDF漏洞来利用PDF加密标准，并使用称为PDFex的攻击模型，他们设法证明了可以破坏加密的PDF文件和受密码保护的PDF文件。毫无疑问，这令人难以置信，因为在某些情况下，可以在PDF文件中找到高度敏感的信息。

研究人员发现了一种破坏受密码保护的PDF文件的方法，这些都归结为密文和纯文本。那么，我们在这里到底在说什么呢？根据whatis.com ，密文是加密后的文本， 明文是加密前的文本。研究人员找到了一种将这两种文本混合使用的方法，并且还采用了某些PDF功能，这些功能允许通过HTTP加载外部资源，并提供了执行渗透攻击的机会。这意味着，如果黑客弄清楚了如何利用密文，明文和PDF功能，则他们可能能够访问文件中存储的数据。研究人员还发现，由于CBC（密码块链接）加密模式没有经过可靠的“完整性检查”，因此加密的PDF文件是不可穿透的。据信所使用的加密算法是可延展的，因此如该消息来源所述 ，可能会提供“将密文转换为另一密文并解密为相关明文的机会”。

发现PDF漏洞的研究人员分析了27个独特的PDF查看器，其中23个被证明易受渗透攻击。发现与Windows和Linux兼容的PDF查看器很容易受到攻击，只有兼容Mac的Preview和Skim查看器可以抵抗直接渗透攻击。事实证明，Mozilla Firefox和Safari浏览器可靠，而Google Chrome和Opera不可靠。不幸的是，即使PDF文件的所有者仅使用可靠的查看器，也可能会面临风险。还发现签名的文件可能是伪造的，这可能使此类文件的接收者面临风险。研究人员测试了针对签名文档的PDFex攻击，发现可以在不更改签名的情况下更改文档的内容。测试了22个PDF查看器应用程序，只有一个抵御了攻击。在7项在线验证服务中，有5项被证明是易受攻击的。 已发布CVE-2018-16042， CVE-2018-18688和CVE-2018-18689补丁程序，以确保网络罪犯无法利用检测到的PDF漏洞，现在桌面PDF查看器的用户必须安装最新版本并更新过时的版本。

这个PDF漏洞能否帮助网络罪犯窃取数据？

如果PDF查看器的创建者没有解决这些漏洞，并且用户本身不能快速安装必要的安全更新，则发现的PDF漏洞很可能会带来很大的麻烦。毕竟，网络犯罪分子总能找到一种方法来利用最微不足道的漏洞，而且这一漏洞远不止于此。不幸的是，受密码保护的PDF文件可能会产生一种安全错觉。因此，人们可能会选择包含更多敏感信息。如果将加密文件发送给其他人，这尤其重要。总体而言，PDF加密标准已被证明是较弱的，因此PDF文件中的数据并不安全。无论是与他人共享密码以及与他人共享密码，还是自己保留密码，您都需要三思而后行，然后再决定将任何敏感数据存储在PDF文件中。

例如，某些人使用受密码保护的PDF文件来存储密码，信用卡号，社会保险号，联系信息以及其他类型的敏感数据。感觉很安全，而且似乎也很方便，因为如果将PDF文件保存在虚拟云中，则可以从任何设备访问它。好吧，如果网络罪犯设法利用PDF漏洞，或者他们能够暴力破解旨在使陌生人无法访问内部信息的弱密码，那么您将不安全。幸运的是，还有其他方法可以保护您的个人数据。一个名为Cyclonis Password Manager的免费工具可用于生成和管理密码，还可以使敏感信息远离那些不应该访问的人。您选择使用Cyclonis保护的所有信息均已加密。等一下，难道我们不是在谈论由加密标准不佳引起的PDF漏洞吗？幸运的是，Cyclonis使用的加密标准是值得信赖的。

毫无疑问，在对任何个人数据进行数字化处理时，您需要非常小心和非常有选择性。到现在为止，您必须熟悉这样的说法：在线发布的所有内容都将永远存在。不幸的是，我们尝试使用受密码保护的文件隐藏的信息，甚至在登录时键入的信息也可能变得容易受到攻击。因此，您需要谨慎对待每一步。您需要注意以下事项：使用的PDF查看器，添加到PDF文档中的信息，共享和保护这些文档的方式以及响应黑客消息或安装最新更新的速度。当然，即使您的虚拟安全性很大一部分掌握在您手中，但如果服务提供商无法修补安全漏洞，您也可能会失控。

总之，如果您想安全，则需要继续学习和自我教育。选择在数字世界中如何保护信息和自己的身份也很重要。另外，请记住，密码就像锁一样，而且脆弱且过时，它们不会妨碍网络犯罪分子的力量。始终设置最强壮，最独特的密码，并对使用的服务和应用程序保持谨慎，因为在某些情况下，它们是最弱的链接。