I ricercatori tedeschi della Ruhr-University Bochum e della Münster University of Applied Sciences hanno descritto due metodi che, in determinate condizioni, consentono di estrarre e visualizzare il contenuto di un PDF protetto da password. Fanno leva sulla non ottimale efficacia del sistema di crittografia impiegato in modo standard dal formato.
PDFex per leggere un PDF con password
Le tecniche sembrano essere applicabili con successo a ben 23 software dedicati alla consultazione dei file, inclusi alcuni dei più celebri come Adobe Acrobat Reader ed Evince, senza dimenticare le componenti integrate nei browser Chrome e Firefox. Sono descritte in un documento intitolato “Practical Decryption exFiltration: Breaking PDF Encryption”, pubblicato ovviamente in formato PDF. Queste le parole di chi ha condotto lo studio.
Anche senza conoscere la password corretta è possibile manipolare parti di un file PDF protetto. Più precisamente, le specifiche PDF consentono un mix di testo cifrato e altro leggibile in chiaro. Sfruttando funzionalità PDF che permettono il caricamento da risorse esterne via HTTP, chiunque può eseguire un attacco di questo tipo una volta che la vittima apre il file.
In altre parole, è possibile modificare le parti “in chiaro” di un file PDF protetto includendo un modulo, un URL o una porzione di codice JavaScript in modo che quando viene aperto inserendo la password corretta una copia dei contenuti cifrati in esso presenti venga automaticamente trasmessa a un server remoto controllato da un malintenzionato, attraverso un processo di “esfiltrazione”. Il secondo metodo è simile, ma sfrutta un sistema denominato Cipher Block Chaining per crittografare porzioni di dati, facendo leva sull’alterazione degli algoritmi impiegati per la cifratura.
Secondo i ricercatori, una possibile soluzione al problema è quella che passa dall’abbandono del supporto ai file che consentono di gestire in un unico contenitore sia informazioni cifrate sia altre non protette. Per farlo sarebbe però necessario uno sforzo a livello collettivo, globale, che per ovvie ragioni non può portare a un risultato immediato.
È bene precisare che mettere a segno un attacco di questo tipo non è cosa semplice: richiede competenze tecniche avanzate e l’accesso al traffico di rete della macchina utilizzata dalla vittima. Insomma, i ricercatori hanno scoperto la falla, l’hanno segnalata alle software house che si trovano nella posizione di porvi rimedio e ora la rendono pubblica, ma al momento non sembra esserci alcun motivo per creare allarmismi infondati.