Фахівці Рурського університету в Бохумі представили дві нові техніки, що дозволяють непомітно модифікувати вміст сертифікованих PDF-документів.

Наприклад, одна особа поставила на PDF-документі (скажімо, на договорі) цифровий підпис і передала його на підпис своєму партнерові. Цей партнер може не тільки підписати, але і змінити текст самого договору, з’ясували дослідники. У звичайних умовах спроба зміни вміст документа відразу ж виявляється програмним забезпеченням, і з’являється відповідне повідомлення. Але під час використання представлених фахівцями технік цього не відбувається.

Техніки, що отримали назву Evil Annotation і Sneaky Signature, являють собою справжній подарунок для шахраїв. Хоча великі виробники ПЗ для роботи з PDF-документами, такі як Adobe, Libreoffice і Foxit вже випустили патчі для своїх продуктів, які блокують можливість скористатися вищезгаданими техніками, додатки від менш відомих брендів як і раніше можуть бути уразливими.

Сертифіковані PDF-документи дуже часто використовуються в бізнесі. Як правило, творці таких документів залишають можливість вносити в їх вміст мінімальні зміни, наприклад, додавати підпис або примітки, і в таких випадках ніякі попередження безпеки не з’являються. Проте, як виявили фахівці Рурського університету, деякі з цих полів для приміток можуть використовуватися для додавання нових матеріалів і зміни смислового значення тексту.

За допомогою атаки Evil Annotation можна використовувати анотації FreeText, Redact і Stamp для додавання в документ зображень або нового тексту без відома його автора. Для документів, в яких можливість додавання анотацій обмежена, в гру вступає друга атака, Sneaky Signature. Інша особа, яка підписує документ, може використовувати процес підписання для додавання в документ додаткової інформації.

“Якщо сертифікований документ відкривається в звичайному додатку для роботи з PDF, підписи можуть бути додані тільки в вільні поля для підпису, надані органом із сертифікації. Додавання порожніх полів підпису в додатку зазвичай більше неможливо. Однак специфікація не забороняє додавати порожні поля підпису в сертифікований документ. Використовуючи такі фреймворки, як Apache PDFBox2, порожні поля підпису можуть бути розміщені в будь-якому місці документа і заповнені довільним вмістом”, – пояснили дослідники.

Дослідники протестували 26 популярних інструментів для роботи з PDF і виявили, що 24 з них уразливі або до однієї з вищеописаних атак, або відразу до двох.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.