德國研究人員證明可以保護受密碼保護的PDF文件

您創建一個PDF文件。您在上面輸入了密碼,以確保沒有人可以訪問其中的信息。您以為100%安全就忘記了文件及其安全性。不幸的是,來自波鴻魯爾大學,明斯特應用科學大學和Hackmanit GmbH的德國研究人員證明,密碼保護的PDF文件是不可戰勝的。研究人員稱,可以使用PDF漏洞來利用PDF加密標準,並使用稱為PDFex的攻擊模型他們設法證明了可以破壞加密的PDF文件和受密碼保護的PDF文件。毫無疑問,這令人難以置信,因為在某些情況下,可以在PDF文件中找到高度敏感的信息。

根據已經找到一種方法來破壞受密碼保護的PDF文件的研究人員的說法,這全部歸結為密文純文本。那麼,我們在這裡到底在說什麼呢?根據whatis.com ,密文是加密後的文本, 明文是加密前的文本。研究人員找到了一種將這兩種文本混合使用的方法,並且還採用了某些PDF功能,這些功能允許通過HTTP加載外部資源,並提供了執行滲透攻擊的機會。這意味著,如果黑客弄清楚瞭如何利用密文,明文和PDF功能,則他們可能能夠訪問文件中存儲的數據。研究人員還發現,由於CBC(密碼塊鏈接)加密模式沒有經過可靠的“完整性檢查”,因此加密的PDF文件是不可穿透的。據信所使用的加密算法是可延展的,因此該消息來源所述 ,可能會提供“將密文轉換為另一密文並解密為相關明文的機會”。

發現PDF漏洞的研究人員分析了27個獨特的PDF查看器,其中23個被證明易受滲透攻擊。發現與Windows和Linux兼容的PDF查看器很容易受到攻擊,只有兼容Mac的PreviewSkim查看器可以抵抗直接滲透攻擊。事實證明,Mozilla Firefox和Safari瀏覽器可靠,而Google Chrome和Opera不可靠。不幸的是,即使PDF文件的所有者僅使用可靠的查看器,也可能會面臨風險。還發現簽名的文件可能是偽造的,這可能使此類文件的接收者面臨風險。研究人員測試了針對簽名文檔的PDFex攻擊,發現可以在不更改簽名的情況下更改文檔的內容。測試了22個PDF查看器應用程序,只有一個抵禦了攻擊。在7項在線驗證服務中,有5項被證明是易受攻擊的。 已發布CVE-2018-16042, CVE-2018-18688CVE-2018-18689補丁程序,以確保網絡罪犯無法利用檢測到的PDF漏洞,現在桌面PDF查看器的用戶必須安裝最新版本並更新過時的版本。

這個PDF漏洞能否幫助網絡罪犯竊取數據?

如果PDF查看器的創建者沒有解決這些漏洞,並且用戶本身不能快速安裝必要的安全更新,則發現的PDF漏洞很可能會帶來很大的麻煩。畢竟,網絡犯罪分子總能找到一種方法來利用最微不足道的漏洞,而且這一漏洞遠不止於此。不幸的是,受密碼保護的PDF文件可能會產生一種安全錯覺。因此,人們可能會選擇包含更多敏感信息。如果將加密文件發送給其他人,這尤其重要。總體而言,PDF加密標準已被證明是較弱的,因此PDF文件中的數據並不安全。無論是與他人共享密碼以及與他人共享密碼,還是自己保留密碼,您都需要三思而後行,然後再決定將任何敏感數據存儲在PDF文件中。

例如,某些人使用受密碼保護的PDF文件來存儲密碼,信用卡號,社會保險號,聯繫信息以及其他類型的敏感數據。感覺很安全,而且似乎也很方便,因為如果將PDF文件保存在虛擬雲中,則可以從任何設備訪問它。好吧,如果網絡罪犯設法利用PDF漏洞,或者他們能夠暴力破解旨在使陌生人無法訪問內部信息的弱密碼,那麼您將不安全。幸運的是,還有其他方法可以保護您的個人數據。一個名為Cyclonis Password Manager的免費工具可用於生成和管理密碼,還可以使敏感信息遠離那些不應該訪問的人。您選擇使用Cyclonis保護的所有信息均已加密。等一下,難道我們不是在談論由加密標準不佳引起的PDF漏洞嗎?幸運的是,Cyclonis使用的加密標準是值得信賴的。

毫無疑問,在對任何個人數據進行數字化處理時,您需要非常小心和非常有選擇性。到現在為止,您必須熟悉這樣的說法:在線發布的所有內容都將永遠存在。不幸的是,我們嘗試使用受密碼保護的文件隱藏的信息,甚至在登錄時鍵入的信息也可能變得容易受到攻擊。因此,您需要謹慎對待每一步。您需要小心使用的PDF查看器,添加到PDF文檔中的信息,共享和保護這些文檔的方式,以及響應黑客消息或安裝最新更新的速度。當然,即使您的虛擬安全性很大一部分掌握在您手中,但如果服務提供商無法修補安全漏洞,您也可能會失控。

總之,如果您想安全,則需要繼續學習和自我教育。選擇在數字世界中如何保護信息和自己的身份也很重要。另外,請記住,密碼就像鎖一樣,而且脆弱且過時,它們不會妨礙網絡犯罪分子的力量。始終設置最強壯,最獨特的密碼,並對使用的服務和應用程序保持謹慎,因為在某些情況下,它們是最弱的鏈接。

December 10, 2019
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。