Todos os posts tagados ccc

Investigadores apontam falhas de segurança nos PDFs

No TeK:

Um estudo divulgado hoje conclui que o PDF, considerado o mais popular dos formatos utilizados para publicação de documentos digitais, apresenta características que podem colocar “sérios problemas de segurança e privacidade” tanto a autores como a leitores do ficheiro.

A conclusão é de um grupo de investigadores da Faculdade de Informática da Universidade Politécnica de Madrid (Espanha), cujas preocupações se localizam a dois níveis: dados relativos a quem envia o documento, que acompanham o ficheiro enviado através da Internet, e a informação sobre o leitor, que é exposta de cada vez que o documento é descarregado e aberto.

O tema não é novo e ainda em Dezembro tinha sido objecto de uma apresentação na conferência internacional Chaos Communication Congress por parte de uma especialista em segurança da empresa FireEye, que apontou várias falhas de segurança ao formato da Adobe, algumas delas em consonância com as agora expostas. O acesso a diferentes níveis de informação era uma delas.

De acordo com a equipa da universidade espanhola, os documentos publicados neste formato podem incluir dados sensíveis, como o nome do autor, a localização do ficheiro no seu computador ou mesmo partes do documento que tinham sido apagadas antes da sua publicação.

Informações como o nome do utilizador ou a data em que o documento foi editado pela última vez editado, usadas pelas aplicações de leitura ou edição deste formato para melhorar a experiência do utilizador, podem representar uma ameaça à segurança dos autores, principalmente porque não sabem que estão a dar acesso a este tipo de informação, alertam os investigadores.

A possibilidade de aceder ao texto eliminado acontece porque as aplicações para criação de PDFs não apagam efectivamente a informação de cada vez que um parágrafo é eliminado, optando antes por marcá-lo como “invisível”. Desta forma, embora programas de leitura não mostram o texto que foi apagado quando o documento é aberto para leitura, esta encontra-se lá e “pode ser acedida por um utilizador malicioso que saiba onde procurar”, explica-se em comunicado. No âmbito da investigação, foram desenvolvidas várias ferramentas capazes de extrair informação que normalmente não está acessível através dos leitores comuns, acrescentaram.

Para os leitores, a abertura de um ficheiro pode implicar a exposição do endereço de IP do computador, o nome do utilizador ou, “potencialmente”, de outros dados armazenados no PC onde se abre o documento.

O risco fica a dever-se a algumas funcionalidades das aplicações que conferem interactividade ao documento, como a ligação a um site ou dispositivo de armazenamento de dados que podem ser activadas quando o ficheiro é aberto para leitura.

O utilizador devia ser avisado dos riscos, mas o estudo revelou que muitas das destas acções, especialmente quando os documentos são abertos a partir do browser, são levadas a cabo sem pedir autorização ou notificar o leitor.

Os investigadores fazem notar, no entanto, que consideram o PDF um “formato poderoso e um poderoso meio de partilha de documentos”, constituindo o presente estudo apenas uma tentativa de alertar os utilizadores que estejam consciente dos riscos e tomem precauções para minimizar os riscos.