Um documento PDF preparado e assinado para envio pode exibir um conteúdo diferente para o destinatário e mantendo a assinatura original. Em outras palavras, o documento tem dois conteúdos, e irá exibir para o destinatário a versão falsificada – ainda que assinada. A possibilidade desse golpe foi descoberta por pesquisadores da universidade de Bochum, Alemanha, os mesmos que em fevereiro de 2019 descobriram falhas nos visualizadores populares de PDF e em serviços de validação online (que permitiam enganar o processo de validação da assinatura digital).
Os pesquisadores verificaram que as pessoas (ou autoridades) que irão assinar o PDF recebem o documento, revisam e assinam. Ums pessoa mal intencionada pode pegar documento assinado, modificá-lo ligeiramente e enviá-lo para as vítimas. Ao abrirem o PDF assinado, as vítimas verão que a assinatura digital foi verificada com sucesso. No entanto, elas estarão recebendo um conteúdo diferente do original, alertam os estudiosos.
Veja isso
Adobe corrige brechas no Acrobat, Reader e Photoshop
Patches de emergência no Photoshop, Bridge, Prelude
A estratégia de substituição de conteúdo foi chamada de “shadow attack”, já que ele fica oculto. Durante a pesquisa, foram criados três diferentes ataques, permitindo ocultar o original, substituir e ocultar e somente substituir o conteúdo de PDFs assinados digitalmente. Os ataques foram testados em 28 visualizadores de PDF e 15 estavam vulneráveis a pelo menos um dos ataques. A lista de visualizadores vulneráveis inclui Adobe, Foxit e LibreOffice.
As empresas responsáveis pelos três já lançaram os patches de segurança para evitar “shadow attacks”, mas muitas outras não responderam aos pesquisadores. As vulnerabilidades foram registradas como CVE-2020-9592 e CVE-2020-9596.
Ocultamento
A variante “Ocultar” dos “shadow attacks” consiste em ocultar uma parte do conteúdo em um PDF atrás de outra camada – uma imagem de página inteira por exemplo. O invasor envia um documento ao assinante com a imagem na parte superior do conteúdo. Depois que o documento for assinado, o invasor poderá manipulá-lo e remover a imagem usada para iludir a pessoa que assinou o documento.
Já na estratégia de “substituir”, segundo os especialistas, a ideia principal é fazer acréscimos de objetos num documento assinado – acréscimos que podem ser considerados inofensivos mas que permitirão alterar o documento assinado. Eles dizem que “a redefinição das fontes, por exemplo, não muda o conteúdo, mas altera a visualização do conteúdo e torna possível a substituição de caracteres”.
Finalmente, na estratégia de ocultar e substituir, o documento PDF passa a conter um segundo conteúdo (um segundo documento), totalmente oculto. Como a pessoa que vai assinar não consegue ver esse segundo conteúdo, ela assina o documento porque visualiza apenas o original. Depois da assinatura, malfeitores acrescentam apenas uma nova tabela Xref e o Trailer (rodapé). Dentro da tabela Xref, é feita apenas uma mudança: a descrição. Basta isso para a exibição do segundo conteúdo.
Com agências internacionais