在今年的信息安全頂級(jí)峰會(huì) S&P 上，來(lái)自德國(guó)波鴻魯爾大學(xué)(RUB)的研究團(tuán)隊(duì)介紹了存在于 PDF 格式中的安全缺陷。雖然該漏洞已經(jīng)被大多數(shù) PDF 閱讀器修復(fù)，但是該漏洞的破壞力依然非常強(qiáng)大的。

在研究過(guò)程中，研究人員找到了一種方法，可以改變 PDF 的簽名過(guò)程，也可以對(duì)變化進(jìn)行注釋。正如他們?cè)诓┛蜕纤忉尩模?ldquo;我們對(duì)PDF認(rèn)證的安全性進(jìn)行了廣泛的分析。在此過(guò)程中，我們開(kāi)發(fā)了邪惡的注釋攻擊(EAA)，以及狡猾的簽名攻擊(SSA)”。

在博文中寫(xiě)道：“該攻擊思路利用了 PDF 認(rèn)證的靈活性，它允許在不同的權(quán)限級(jí)別下對(duì)認(rèn)證文件進(jìn)行簽名或添加注釋。我們的實(shí)際評(píng)估表明，攻擊者可以通過(guò)使用 EAA 在 26 個(gè)查看器應(yīng)用程序中的 15 個(gè)應(yīng)用程序中改變可見(jiàn)內(nèi)容，并通過(guò)使用符合PDF規(guī)范的漏洞在8個(gè)應(yīng)用程序中改變可見(jiàn)內(nèi)容。我們通過(guò)應(yīng)用程序的實(shí)施問(wèn)題改善了這兩種攻擊的隱蔽性，并發(fā)現(xiàn)只有兩個(gè)應(yīng)用程序?qū)λ泄舳际前踩?rdquo;。通過(guò)這個(gè)安全漏洞，就相當(dāng)于在合同或者文件上偽造某人的簽名，通過(guò)注釋 PDF 的能力，可以插入條款或協(xié)議的其他功能。