PDF non sono sicuri: possibile rubare dati da quelli protetti
Alcuni ricercatori tedeschi hanno dimostrato che è possibile estrarre il contenuto da file PDF crittografati. A rischio milioni di informazioni riservate
I file PDF non sono sicuri, anche quando sono criptati, e molte comuni app per visualizzarli possono essere utilizzate per forzare la crittografia ed accedere ai dati contenuti nel file. E, purtroppo, il problema non sta nelle app ma nello standard PDF.
Lo hanno scoperto i ricercatori della Università della Ruhr a Bochum e della Università di Münster, entrambe in Germania, e hanno chiamato questo tipo di attacco (che in realtà sono almeno due, più le varianti) con il nome di “PDFex“. Dove la “ex” sta per “exfiltrate“, cioè “tirare fuori“, perché con questo tipo di attacco è letteralmente possibile sfilare i dati da dentro i file, bypassando la crittografia. Si tratta di vulnerabilità finora sconosciute e che, per fortuna, non sono ancora utilizzate dai cybercriminali. Ma i ricercatori avvertono: lo standard PDF va aggiornato o non passerà molto prima che i nostri file siano in pericolo.
Come funziona l’attacco PDFex
Alla base di questa vulnerabilità dei file PDF c’è il fatto che questo standard usa una criptografia nativa, affinché qualsiasi app usata per leggere un file possa aprire senza problemi anche un documento criptato con una diversa app. Ma proprio la crittografia standard è l’anello debole: “I nostri attacchi consentono il recupero dell’intero testo in chiaro di documenti crittografati utilizzando canali di esfiltrazione basati su proprietà PDF conformi allo standard“, affermano i ricercatori. In un file PDF crittografato, infatti, ci sono sempre parti che non subiscono alcuna codifica. Così un malintenzionato può manomettere questi campi non crittografati e creare un file PDF che una volta decrittografato e aperto tenterà di inviare il contenuto del file all’esterno
La seconda variante dell’attacco PDFex lavora invece sulle parti crittografate, usando i cosiddetti gadget CBC. Si tratta di pezzi di codice che vengono eseguiti sul contenuto crittografato e modificano i dati in chiaro alla fonte. “Con i gadget CBC il testo cifrato viene modificato per esfiltrarsi dopo la decrittazione“, ha dichiarato Sebastian Schinzel, uno dei ricercatori tedeschi.
Lo standard PDF va corretto
I ricercatori delle due università tedesche non hanno dubbi: testando questi attacchi con 27 diverse app PDF Viewer, tutte e 27 hanno permesso di estrapolare i dati crittografati, o con una o con l’altra variante di PDFex. Si tratta quindi di un problema alla fonte, cioè nello standard PDF che andrebbe aggiornato alla luce di queste importanti vulnerabilità.
