Могут ли PDF-файлы содержать ресурсы, загружаемые из Интернета?

Question

Я нашел эту информацию на сайте Tor:

Вы должны быть очень осторожны при загрузке документов через Tor (особенно файлы DOC и PDF), поскольку эти документы могут содержать интернет-ресурсы, которые будут загружаться за пределы Tor приложением, которое их открывает. Это покажет ваш не-Tor IP-адрес. Если вам необходимо работать с файлами DOC и / или PDF, мы настоятельно рекомендуем либо использовать отключенный компьютер, загрузить бесплатный VirtualBox и использовать его с образом виртуальной машины с отключенной сетью, либо использовать Tails. Однако ни при каких обстоятельствах нельзя безопасно использовать BitTorrent и Tor вместе.

Насколько я знаю, изображения не могут быть встроены из внешнего источника. Итак, какие ресурсы имеются в виду?

Answer 1

Вы указываете это на веб-сайте Tor:

… Эти документы могут содержать интернет-ресурсы, которые будут загружаться за пределы Tor приложением, которое их открывает.

Ключевое слово там - «может», а предупреждение, как я его прочел, - это общее выражение «Давайте будем осторожны…».

Я не уверен на 100% в отношении изображений, но существуют эксплойты, инструменты и учебные пособия, которые описывают методы внедрения эксплойтов руткитов в такие PDF-файлы , как этот ; смелый акцент мой

В этом эксплойте мы изменим существующий файл .pdf, который затем можно будет опубликовать на нашем веб-сайте. Когда друзья или другие пользователи загружают его, он открывает слушателя (руткит) в своей системе и дает нам полный контроль над своим компьютером удаленно.

И более четко указано ближе к концу; опять смелый акцент мой

Просто скопируйте этот файл на свой сайт и предложите посетителям скачать его. Когда наша жертва загрузит и откроет этот файл с вашего веб-сайта, он откроет соединение с вашей системой, которое вы можете использовать для запуска и владения своей компьютерной системой.

Answer 2

Я думаю, что ключ к вашему вопросу в том, что вы можете встроить JavaScipt в PDF. И эта статья, кажется, объясняет этот процесс: «Как улучшить ваши PDF-формы с помощью JavaScript»

Таким образом, вы можете встроить некоторый код, который подключается к внешнему серверу, для обмена данными между внешним устройством и вашим ПК.

Я не уверен, есть ли встроенные параметры безопасности, которые ограничивают возможность PDF-файла «позвонить домой». Возможно, это также зависит от используемого читателя PDF.

РЕДАКТИРОВАТЬ:

Чтобы проверить настройки в Adobe Reader, нажмите ctrl-k и выберите Trust manager с левой стороны. Это показывает следующие параметры в моей версии:

Вы можете предоставить подробную информацию о том, какие веб-сайты вы считаете приемлемыми для контакта в формате PDF. Кроме того, снова слева нажмите на JavaScript, где вы можете включить или отключить использование Adobe JavaScript.

В соответствии с комментарием mgutt ниже, я не мог понять, почему вы не можете использовать app.media.getURLData() для загрузки внешних данных, если JavaScript не устанавливает никаких других ограничений и, конечно, приложение pdf поддерживает JavaScript.