Немецкие эксперты из Рурского университета (Бохум, Германия) обнаружили кардинально новую разновидность кибератак, которая получила название Shadow Attack. С ее помощью можно изменить содержимое защищенных PDF-файлов, даже если они имеют цифровую подпись.
Смысл проведения кибератаки Shadow Attack заключается в том, что киберпреступник можно создать PDF-файл с двумя различными видами содержимого:
- первый – ожидаемая информация со стороны тех, кто будет подписывать документ;
- второй – скрытые сведения, которые будут отображаться после получения документов цифровой подписи.
Из-за этого подписывающее лицо и получающее лицо видят в одном и том же документе различные данные, хотя в средствах просмотра не наблюдается каких-либо видимых нарушений. Специалисты Рурского университета отмечают, что практически все программы, используемые для просмотра PDF-файлов, в том числе популярные приложения от Libre Office, Foxit, Adobe, PDF15 в разной степени являются уязвимыми перед подобными кибератаками.
Разработчики их компания The Document Foundation, Adobe, Foxit уже представили сейчас соответствующие исправления, которые не позволяют эксплуатировать найденные специалистами уязвимости.
ИБ-экспертами из Рурского университета были описаны три кибератаки:
- с помощью первой можно скрыть от подписанта определенную часть информации, которая размещена в документе, но показать ее получателю;
- вторая атака рассчитана на полную подмену данных в документе PDF;
- третья – на скрытие информации в документе.
В двух последних ситуациях корректировки в документ PDF вносятся таким образом, чтобы программы для просмотра файлов считали их полностью безопасными, хотя сведения, которые выводятся для получателя, могут полностью отличаться от тех, который видел подписант.
К примеру, изменение шрифтов – это безвредное изменение (по мнению программ просмотра), но с помощью такого подхода могут быть подменены некоторые символы. Также у киберпреступников есть возможность модификации интерактивных форм документов PDF таким образом, чтобы при проставлении цифровой подписи выводилось одно значение, а при открытии – другие данные.
