Home - Tecnologia - Hack quebra a criptografia de PDF e abre conteúdo para os invasores
pdf-signature-bank-seguranca-brasil

Hack quebra a criptografia de PDF e abre conteúdo para os invasores

O PDFex pode ignorar a criptografia e a proteção por senha na maioria dos leitores de PDF e serviços de validação online

Pesquisadores na Alemanha inventaram um novo hack que pode permitir que alguém quebre a criptografia de arquivos PDF e acesse seu conteúdo – ou mesmo forja arquivos PDF assinados sob certas circunstâncias.

Uma equipe da Universidade Ruhr Bochum , da Universidade de Ciências Aplicadas FH Münster  e da Hackmanit GmbH desenvolveu o ataque, chamado PDFex, que permite que um invasor visualize o conteúdo de um arquivo PDF sem a chave pública ou a senha criptografada.

A equipe publicou um relatório online detalhando o ataque, que inclui duas técnicas principais – uma que pode quebrar a criptografia de PDF e outra que pode quebrar as assinaturas de PDF . Eles avaliaram os hacks em relação a dois tipos de aplicativos – aplicativos de área de trabalho comumente usados ​​e serviços de validação online que são mais frequentemente usados ​​pelas empresas.

O PDFex visa a criptografia suportada pelo padrão PDF, em vez de proteções aplicadas a um documento PDF por uma fonte externa, disseram os pesquisadores. Em seus testes, os pesquisadores usaram com sucesso pelo menos um de seus ataques PDFex para acessar o conteúdo de arquivos PDF em 21 dos 22 aplicativos de visualização de desktop e cinco dos sete serviços de validação, disseram eles. Os visualizadores populares de PDF vulneráveis ​​a ataques incluem o Adobe Acrobat e os leitores de PDF integrados do Chrome e Firefox.

Para arquivos protegidos por senha, os pesquisadores descobriram que o PDFex permite que um invasor manipule partes de um arquivo PDF sem saber a senha correspondente. No entanto, isso só pode ser feito depois que a pessoa que tiver a senha abrir o arquivo, disseram os pesquisadores.

“Mais precisamente, a especificação do PDF permite a mistura de textos cifrados com textos simples”, eles escreveram. “Em combinação com outros recursos de PDF que permitem o carregamento de recursos externos via HTTP, o invasor pode executar ataques diretos de exfiltração quando a vítima abrir o arquivo”.

Quando um arquivo PDF é criptografado – normalmente usando o modo de criptografia CBC (Block Cipher) sem verificação de integridade, implicando em maleabilidade do texto cifrado – os pesquisadores disseram que poderiam criar “partes de texto cifrado autoexfiltradoras usando dispositivos de maleabilidade da CBC”.

“Usamos essa técnica não apenas para modificar o texto simples existente, mas para construir objetos criptografados inteiramente novos”, relataram pesquisadores.

A segunda técnica chave do PDFex pode “usar qualquer documento PDF assinado e criar um documento que contenha conteúdo arbitrário em nome do usuário, empresa, ministério ou estado”, escreveram os pesquisadores. Quase todos os visualizadores de desktops em PDF e serviços de validação online estão vulneráveis ​​a esse ataque, alertaram.

A empresa usou um exemplo de um documento existente assinado por [email protected] que não havia sido modificado desde que a assinatura foi aplicada para demonstrar como esse ataque funciona. Eles disseram que podem pegar o documento assinado e alterar seu conteúdo “arbitrariamente sem invalidar a assinatura”.

“Assim, podemos forjar um documento assinado por [email protected] para nos reembolsar um trilhão de dólares”, escreveram os pesquisadores. Somente uma pessoa que entende o formato PDF em profundidade pode detectar um ataque desse tipo, acrescentaram.

Os pesquisadores trabalharam em colaboração com o BSI-CERT para entrar em contato com todos os fornecedores e fornecer explorações de prova de conceito para ajudá-los a atualizar os leitores para se protegerem do PDFex. Usuários de visualizadores de desktop analisados ​​pela equipe já deveriam ter recebido essas atualizações, disseram os pesquisadores.


Sobre Suporte Center

Suporte Center é um autor do site centerdicas.com especializado em publicações sobre tecnologia, dicas e reviews

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

  • Como ler áudio no WhatsApp sem apertar o PLAY
  • Veja como instalar SSD no PC para deixá-lo mais potente
  • Como deixar de seguir todos no Instagram ou apenas quem não te segue de volta
  • Tenha um e-mail profissional grátis com domínio próprio
  • Grupos do WhatsApp: Encontre na internet grupos do seu interesse