A tarefa dos pesquisadores era simples: modificar o conte\u00fado de um documento PDF assinado sem invalidar a assinatura. Na teoria, os cibercriminosos poderiam fazer o mesmo para transmitir informa\u00e7\u00f5es falsas ou adicionar conte\u00fado malicioso a um arquivo autenticado. Afinal, os clientes que recebem um documento assinado de um banco, por exemplo, provavelmente confiam nele e clicam em qualquer link.<\/p>\n
A equipe selecionou 22 visualizadores de PDF mais populares, para v\u00e1rias plataformas, e forneceu a eles os resultados de seus experimentos.<\/p>\n
Estrutura do arquivo PDF<\/h2>\n![\"Estrutura](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/01\/29183122\/36C3-PDF-digital-signature-1.png\")
Estrutura de arquivo em PDF. Cabe\u00e7alho, Corpo, Tabela Xref e Trailer; Atualiza\u00e7\u00f5es no Corpo, Tabela Xref e Trailer. Todos protegidos por assinatura.<\/p><\/div>\n
Primeiro, fa\u00e7amos uma introdu\u00e7\u00e3o sobre o formato PDF. Cada arquivo consiste em quatro partes principais: o cabe\u00e7alho (Header, em ingl\u00eas), que mostra a vers\u00e3o PDF; o corpo (Body), que mostra o conte\u00fado principal visto pelo usu\u00e1rio; a se\u00e7\u00e3o Xref, um diret\u00f3rio que lista os objetos dentro do corpo do arquivo e seus locais (para exibi\u00e7\u00e3o do conte\u00fado); e o trailer<\/em>, que \u00e9 onde os leitores de PDF come\u00e7am a ler o documento. O trailer<\/em> cont\u00e9m dois par\u00e2metros importantes que informam ao programa por onde come\u00e7ar o processamento do arquivo e onde a se\u00e7\u00e3o Xref come\u00e7a.<\/p>\nUma fun\u00e7\u00e3o de atualiza\u00e7\u00e3o integrada ao formato permite ao usu\u00e1rio, por exemplo, destacar parte do texto e deixar coment\u00e1rios. Do ponto de vista t\u00e9cnico, a fun\u00e7\u00e3o adiciona mais tr\u00eas se\u00e7\u00f5es: atualiza\u00e7\u00f5es para o corpo do arquivo, um novo diret\u00f3rio Xref e um novo trailer<\/em>. Isso efetivamente torna poss\u00edvel alterar a maneira como os objetos s\u00e3o vistos pelo usu\u00e1rio e adicionar novo conte\u00fado. Em ess\u00eancia, uma assinatura digital tamb\u00e9m \u00e9 uma atualiza\u00e7\u00e3o adicional, adicionando outro elemento e as se\u00e7\u00f5es correspondentes ao arquivo.<\/p>\nAtaque ISA (Incremental saving attack)<\/h2>\n![\"Adicionando](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/01\/29183325\/36C3-PDF-digital-signature-2.png\")
Adicionando uma atualiza\u00e7\u00e3o.<\/p><\/div>\n
Primeiro, a equipe tentou adicionar se\u00e7\u00f5es extras ao arquivo com outra atualiza\u00e7\u00e3o incremental, usando um editor de texto. A rigor, isso n\u00e3o \u00e9 um ataque \u2013 a equipe simplesmente usou uma fun\u00e7\u00e3o implementada pelos desenvolvedores do formato. Quando um usu\u00e1rio abre um arquivo que foi modificado dessa maneira, o leitor de PDF geralmente exibe uma mensagem informando que a assinatura digital \u00e9 v\u00e1lida, mas o documento foi modificado. N\u00e3o \u00e9 a mensagem mais esclarecedora, especialmente n\u00e3o para um usu\u00e1rio inexperiente. Pior que isso: um dos visualizadores de PDF (LibreOffice) nem exibiu a mensagem.<\/p>\n
O pr\u00f3ximo experimento envolveu a remo\u00e7\u00e3o das duas se\u00e7\u00f5es finais (ou seja, a adi\u00e7\u00e3o de uma atualiza\u00e7\u00e3o ao corpo, mas n\u00e3o o novo Xref e o trailer). Alguns aplicativos se recusaram a trabalhar com esse arquivo. Dois visualizadores de PDF detectaram que as se\u00e7\u00f5es estavam ausentes e as adicionaram automaticamente sem notificar o leitor sobre uma altera\u00e7\u00e3o no conte\u00fado. Tr\u00eas outros carregaram o arquivo sem nenhuma obje\u00e7\u00e3o.<\/p>\n
Em seguida, os pesquisadores se perguntaram o que aconteceria se eles simplesmente copiassem a assinatura digital em sua pr\u00f3pria atualiza\u00e7\u00e3o \u201cmanual\u201d. Outros dois leitores ca\u00edram nessa \u2013 o Foxit e o MasterPDF.<\/p>\n
No total, 11 dos 22 leitores de PDF mostraram-se vulner\u00e1veis \u200b\u200ba essas simples manipula\u00e7\u00f5es. Al\u00e9m disso, seis deles n\u00e3o mostraram absolutamente nenhum sinal de que o documento aberto para visualiza\u00e7\u00e3o havia sido modificado. Nos outros cinco casos, para revelar qualquer sinal de manipula\u00e7\u00e3o, o usu\u00e1rio teve que entrar no menu e verificar a validade da assinatura digital manualmente; simplesmente abrir o arquivo n\u00e3o era suficiente para mostrar a falha.<\/p>\n
Ataque SWA (Signature wrapping attack)<\/h2>\n![\"Adicionando](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/01\/29183446\/36C3-PDF-digital-signature-3.png\")
Adicionando uma assinatura digital<\/p><\/div>\n
Ao assinar um documento, dois campos importantes s\u00e3o adicionados como uma atualiza\u00e7\u00e3o adicional ao corpo do arquivo: \/Conte\u00fado (Contents), que cont\u00e9m a assinatura, e \/ByteRange, que descreve exatamente o que foi assinado. Neste \u00faltimo, existem quatro par\u00e2metros (que definem o in\u00edcio do arquivo, o n\u00famero de bytes antes do c\u00f3digo da assinatura, um byte que determina onde o c\u00f3digo da assinatura termina e o n\u00famero de bytes ap\u00f3s a assinatura) porque a assinatura digital \u00e9 uma sequ\u00eancia de caracteres gerado por meios criptogr\u00e1ficos a partir do c\u00f3digo do documento PDF. Naturalmente, a assinatura n\u00e3o pode assinar-se sozinha, portanto, a \u00e1rea onde est\u00e1 armazenada \u00e9 exclu\u00edda do processo de c\u00e1lculo da assinatura.<\/p>\n
Os pesquisadores tentaram adicionar outro campo \/ByteRange imediatamente ap\u00f3s a assinatura. Os dois primeiros valores permaneceram inalterados, apenas o endere\u00e7o do final do c\u00f3digo de assinatura foi alterado. O resultado foi o aparecimento de um espa\u00e7o adicional no arquivo, permitindo a adi\u00e7\u00e3o de objetos maliciosos, bem como a se\u00e7\u00e3o Xref que os descreve. Na teoria, se o arquivo fosse lido corretamente, o visualizador de PDF simplesmente n\u00e3o chegaria a esta se\u00e7\u00e3o. No entanto, 17 dos 22 aplicativos estavam vulner\u00e1veis \u200b\u200ba esse ataque.<\/p>\n
Falsifica\u00e7\u00e3o de assinaturas universais (USF)<\/h2>\n
Para maior precis\u00e3o, o time de pesquisadores tamb\u00e9m decidiu realizar um teste de estresse nos aplicativos contra um truque conhecido, onde \u00e9 realizada uma tentativa de substituir os valores dos campos com informa\u00e7\u00f5es incorretas, ou simplesmente delet\u00e1-los. Quando o experimento \u00e9 feito na se\u00e7\u00e3o de conte\u00fados, descobriu-se que, se a assinatura verdadeira fosse substitu\u00edda por \u201c0x00\u201d, dois programas de leitura ainda assim validavam o documento.<\/p>\n
E se a assinatura for deixada no devido lugar, mas a se\u00e7\u00e3o \/ByteRange (que \u00e9 a informa\u00e7\u00e3o sobre o que voc\u00ea assinou exatamente) fosse deletada? Ou um espa\u00e7o em branco fosse inserido no lugar dos dados reais? Em ambos os casos, alguns programas validaram a assinatura mesmo assim.<\/p>\n
No total, foram encontrados erros de implementa\u00e7\u00e3o que poderiam ser explorados em 4 dos 22 programas.<\/p>\n
A tabela abaixo \u00e9 um resumo que mostrar que nada menos do que 21 dos 22 leitores de PDF poderiam ser enganados. Ou seja, para todos exceto um, \u00e9 poss\u00edvel criar um arquivo PDF com conte\u00fado malicioso ou informa\u00e7\u00e3o falsa que pode parecer v\u00e1lido para o usu\u00e1rio.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/01\/29183550\/36C3-PDF-digital-signature-4.png\")
<\/p>\n
Estrutura de arquivo em PDF. Cabe\u00e7alho, Corpo, Tabela Xref e Trailer; Atualiza\u00e7\u00f5es no Corpo, Tabela Xref e Trailer. Todos protegidos por assinatura.<\/p><\/div>\n
Primeiro, fa\u00e7amos uma introdu\u00e7\u00e3o sobre o formato PDF. Cada arquivo consiste em quatro partes principais: o cabe\u00e7alho (Header, em ingl\u00eas), que mostra a vers\u00e3o PDF; o corpo (Body), que mostra o conte\u00fado principal visto pelo usu\u00e1rio; a se\u00e7\u00e3o Xref, um diret\u00f3rio que lista os objetos dentro do corpo do arquivo e seus locais (para exibi\u00e7\u00e3o do conte\u00fado); e o trailer<\/em>, que \u00e9 onde os leitores de PDF come\u00e7am a ler o documento. O trailer<\/em> cont\u00e9m dois par\u00e2metros importantes que informam ao programa por onde come\u00e7ar o processamento do arquivo e onde a se\u00e7\u00e3o Xref come\u00e7a.<\/p>\n Uma fun\u00e7\u00e3o de atualiza\u00e7\u00e3o integrada ao formato permite ao usu\u00e1rio, por exemplo, destacar parte do texto e deixar coment\u00e1rios. Do ponto de vista t\u00e9cnico, a fun\u00e7\u00e3o adiciona mais tr\u00eas se\u00e7\u00f5es: atualiza\u00e7\u00f5es para o corpo do arquivo, um novo diret\u00f3rio Xref e um novo trailer<\/em>. Isso efetivamente torna poss\u00edvel alterar a maneira como os objetos s\u00e3o vistos pelo usu\u00e1rio e adicionar novo conte\u00fado. Em ess\u00eancia, uma assinatura digital tamb\u00e9m \u00e9 uma atualiza\u00e7\u00e3o adicional, adicionando outro elemento e as se\u00e7\u00f5es correspondentes ao arquivo.<\/p>\n Adicionando uma atualiza\u00e7\u00e3o.<\/p><\/div>\n Primeiro, a equipe tentou adicionar se\u00e7\u00f5es extras ao arquivo com outra atualiza\u00e7\u00e3o incremental, usando um editor de texto. A rigor, isso n\u00e3o \u00e9 um ataque \u2013 a equipe simplesmente usou uma fun\u00e7\u00e3o implementada pelos desenvolvedores do formato. Quando um usu\u00e1rio abre um arquivo que foi modificado dessa maneira, o leitor de PDF geralmente exibe uma mensagem informando que a assinatura digital \u00e9 v\u00e1lida, mas o documento foi modificado. N\u00e3o \u00e9 a mensagem mais esclarecedora, especialmente n\u00e3o para um usu\u00e1rio inexperiente. Pior que isso: um dos visualizadores de PDF (LibreOffice) nem exibiu a mensagem.<\/p>\n O pr\u00f3ximo experimento envolveu a remo\u00e7\u00e3o das duas se\u00e7\u00f5es finais (ou seja, a adi\u00e7\u00e3o de uma atualiza\u00e7\u00e3o ao corpo, mas n\u00e3o o novo Xref e o trailer). Alguns aplicativos se recusaram a trabalhar com esse arquivo. Dois visualizadores de PDF detectaram que as se\u00e7\u00f5es estavam ausentes e as adicionaram automaticamente sem notificar o leitor sobre uma altera\u00e7\u00e3o no conte\u00fado. Tr\u00eas outros carregaram o arquivo sem nenhuma obje\u00e7\u00e3o.<\/p>\n Em seguida, os pesquisadores se perguntaram o que aconteceria se eles simplesmente copiassem a assinatura digital em sua pr\u00f3pria atualiza\u00e7\u00e3o \u201cmanual\u201d. Outros dois leitores ca\u00edram nessa \u2013 o Foxit e o MasterPDF.<\/p>\n No total, 11 dos 22 leitores de PDF mostraram-se vulner\u00e1veis \u200b\u200ba essas simples manipula\u00e7\u00f5es. Al\u00e9m disso, seis deles n\u00e3o mostraram absolutamente nenhum sinal de que o documento aberto para visualiza\u00e7\u00e3o havia sido modificado. Nos outros cinco casos, para revelar qualquer sinal de manipula\u00e7\u00e3o, o usu\u00e1rio teve que entrar no menu e verificar a validade da assinatura digital manualmente; simplesmente abrir o arquivo n\u00e3o era suficiente para mostrar a falha.<\/p>\n Adicionando uma assinatura digital<\/p><\/div>\n Ao assinar um documento, dois campos importantes s\u00e3o adicionados como uma atualiza\u00e7\u00e3o adicional ao corpo do arquivo: \/Conte\u00fado (Contents), que cont\u00e9m a assinatura, e \/ByteRange, que descreve exatamente o que foi assinado. Neste \u00faltimo, existem quatro par\u00e2metros (que definem o in\u00edcio do arquivo, o n\u00famero de bytes antes do c\u00f3digo da assinatura, um byte que determina onde o c\u00f3digo da assinatura termina e o n\u00famero de bytes ap\u00f3s a assinatura) porque a assinatura digital \u00e9 uma sequ\u00eancia de caracteres gerado por meios criptogr\u00e1ficos a partir do c\u00f3digo do documento PDF. Naturalmente, a assinatura n\u00e3o pode assinar-se sozinha, portanto, a \u00e1rea onde est\u00e1 armazenada \u00e9 exclu\u00edda do processo de c\u00e1lculo da assinatura.<\/p>\n Os pesquisadores tentaram adicionar outro campo \/ByteRange imediatamente ap\u00f3s a assinatura. Os dois primeiros valores permaneceram inalterados, apenas o endere\u00e7o do final do c\u00f3digo de assinatura foi alterado. O resultado foi o aparecimento de um espa\u00e7o adicional no arquivo, permitindo a adi\u00e7\u00e3o de objetos maliciosos, bem como a se\u00e7\u00e3o Xref que os descreve. Na teoria, se o arquivo fosse lido corretamente, o visualizador de PDF simplesmente n\u00e3o chegaria a esta se\u00e7\u00e3o. No entanto, 17 dos 22 aplicativos estavam vulner\u00e1veis \u200b\u200ba esse ataque.<\/p>\n Para maior precis\u00e3o, o time de pesquisadores tamb\u00e9m decidiu realizar um teste de estresse nos aplicativos contra um truque conhecido, onde \u00e9 realizada uma tentativa de substituir os valores dos campos com informa\u00e7\u00f5es incorretas, ou simplesmente delet\u00e1-los. Quando o experimento \u00e9 feito na se\u00e7\u00e3o de conte\u00fados, descobriu-se que, se a assinatura verdadeira fosse substitu\u00edda por \u201c0x00\u201d, dois programas de leitura ainda assim validavam o documento.<\/p>\n E se a assinatura for deixada no devido lugar, mas a se\u00e7\u00e3o \/ByteRange (que \u00e9 a informa\u00e7\u00e3o sobre o que voc\u00ea assinou exatamente) fosse deletada? Ou um espa\u00e7o em branco fosse inserido no lugar dos dados reais? Em ambos os casos, alguns programas validaram a assinatura mesmo assim.<\/p>\n No total, foram encontrados erros de implementa\u00e7\u00e3o que poderiam ser explorados em 4 dos 22 programas.<\/p>\n A tabela abaixo \u00e9 um resumo que mostrar que nada menos do que 21 dos 22 leitores de PDF poderiam ser enganados. Ou seja, para todos exceto um, \u00e9 poss\u00edvel criar um arquivo PDF com conte\u00fado malicioso ou informa\u00e7\u00e3o falsa que pode parecer v\u00e1lido para o usu\u00e1rio.<\/p>\nAtaque ISA (Incremental saving attack)<\/h2>\n
Ataque SWA (Signature wrapping attack)<\/h2>\n
Falsifica\u00e7\u00e3o de assinaturas universais (USF)<\/h2>\n
<\/p>\n