Saving PDFs from the print dialog in macOS.
ذخیره PDF از گفتگوی چاپ در macOS.
عکس صفحه: Gizmodo

محققان اخیراً نقص های امنیتی در PDF را کشف کرد که می تواند به یک هکر باهوش اجازه دهد به طور پنهانی محتوای اسناد معتبر را دستکاری یا از بین ببرد. در حالی که آسیب پذیری های مورد بحث قبلاً توسط اکثر برنامه های خواننده اصلاح شده است ، تحقیقات جدید یک نگاه کوچک و عجیب به چگونگی خرابکاری افراد آنلاین ارائه می دهد با اسناد خود ، آیا باید اینگونه تمایل داشته باشند.

این نقص ها توسط محققان دانشگاهی در دانشگاه روهر-دانشگاه بوخوم آلمان کشف شد و اخیراً در سمپوزیوم IEEE در مورد امنیت و حریم خصوصی .

کارشناسان امنیتی دو سو explo استفاده خاص را خراب می کنند در وبلاگ خود – حمله Sneaky Signature Attack (SSA) و Evil Annotation Attack (EAA) را به آنها هدیه دهید. در هر دو مورد ، بهره برداری از دستکاری مراحل صدور گواهینامه PDF از طریق نقص در مشخصات پرونده. مشخصات بر روند امضای دیجیتال و صدور گواهینامه حاکم است – این فرایندی است که به موجب آن یک سند مهر تأیید را برای منبع معتبر و مطمئن می گیرد.

از طریق این نقص ها ، هکرها می توانند وارد فرآیند صدور گواهینامه شوند که به شما اجازه می دهد اسناد را از طریق حاشیه نویسی یا ویرایش های دیگر امضا یا تغییر دهید. این سوits استفاده ها به بازیگر بد این امکان را می دهد که “محتوای قابل مشاهده یک سند معتبر را بدون افزایش هشدارها تغییر دهد” ، به عنوان محققان این را می گویند .

“ایده حمله از انعطاف پذیری صدور گواهینامه PDF بهره می برد”. “ارزیابی عملی ما نشان می دهد که یک مهاجم می تواند با استفاده از EAA و در 8 برنامه با استفاده از SSA با استفاده از سو PDF استفاده های سازگار با PDF ، محتوای قابل مشاهده را در 15 از 26 برنامه بیننده تغییر دهد.”

البته ، چرا هکر می خواهد برای انجام این کار به دردسر بیفتد تا حدودی نامشخص است. آنها می خواهند ، بند جدیدی را در قرارداد شرکت شخصی دزدکی حرکت کنند ، یا ممکن است امضای مدیر عامل را دستکاری کنند تا آنها را به عنوان یک گرلملین قلمداد کنند؟ من حدس می زنم در برخی از سناریوهای فرضی آشفته ، این تاکتیک می تواند به عنوان یک شکل دور از افترا مورد استفاده قرار گیرد – شاید با درج محتوای توهین آمیز و / یا عجیب و غریب در یک سند ، نویسنده آن را بد جلوه دهد. در حالی که به نظر می رسد وقتی اینترنت یک گنجینه واقعی از روش های ترور شخصیت های گاه به گاه است ، مشکل زیادی برای رفتن وجود دارد ، اما شما هرگز نمی دانید!

این یا نه یک حمله عملی برای هر کسی است که می تواند از آن استفاده کند ، انتظار دارد که بیت کوین ها را بشنوند و توضیح دهند که چرا ما به بلاکچین نیاز داریم.