电子发票有漏洞:“影子攻击”可篡改数字签名的PDF文档

安全 应用安全 漏洞
近日,研究者又发现一种新型的PDF攻击技术——影子攻击。影子攻击规避了目前所有的PDF安全对策,并破坏了数字签名PDF的完整性保护。

如今,数字签名的PDF文件被广泛用于电子合同和电子发票(例如京东、亚马逊等电商平台的电子发票),以确保其内容的真实性和完整性。

通常,当用户试图对数字签名的PDF进行修改时,都会看到警告,防止篡改。但在2019年,Mladenov等人揭示了PDF阅读器实现中的各种解析漏洞,并展示了可以修改PDF文档而不会使签名无效的攻击。最终,受影响的PDF查看器供应商都实施了防止此类攻击的安全对策。

近日,研究者又发现一种新型的PDF攻击技术——影子攻击。影子攻击规避了目前所有的PDF安全对策,并破坏了数字签名PDF的完整性保护。与以前的攻击相比,影子攻击不会滥用PDF阅读器中的实现问题。相反,影子攻击利用PDF规范提供的巨大灵活性,因此影子文档保持符合标准。由于影子攻击仅滥用合法功能,因此难以缓解。

影子攻击的三种篡改方式(隐藏、替换、隐藏+替换)

研究结果表明,经过测试的29个PDF阅读器中有16个(包括Adobe Acrobat和Foxit Reader福昕阅读器)容易受到影子攻击。

 

论文还介绍了可自动生成影子攻击的工具PDF-Attacker。此外,研究人员同时还部署了能够检测影子文档的PDF-Detector,以防止对影子文档被签名,以及对签名PDF文档篡改进行司法鉴定。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2009-08-14 13:40:17

数字签名电子签名安全体系结构

2021-02-26 01:01:51

影子攻击漏洞攻击

2010-09-02 21:10:13

2021-06-03 09:33:23

PDF漏洞黑客

2010-06-04 09:21:51

身份认证数字签名

2011-08-29 10:27:38

IT技术数字签名数字证书

2010-10-08 21:14:08

2010-09-17 20:20:14

2019-04-18 15:00:36

2021-12-28 13:54:52

加密密钥Java

2011-06-20 15:12:48

微软木马

2009-07-19 21:44:39

2011-01-19 17:27:21

Sylpheed

2016-11-10 23:51:41

2022-02-21 09:00:08

数字签名验证

2020-08-13 18:40:51

OpenSSL密码学Linux

2009-03-02 16:42:33

2021-06-22 17:26:39

DigiCert数字签名身份验证

2022-07-28 10:27:58

量子计算

2021-12-03 08:46:42

微软Edge浏览器
点赞
收藏

51CTO技术栈公众号