Kan PDF-filer vara skadliga att ladda ned (virus/trojaner etc)?

Tjena

Bläddrade igenom min skräppost och såg nåt mail om en ”App store betalning som ej gått igenom” och den bad mig öppna en pdf fil.

Självklart öppnade jag inte men började fundera på vad du kan klämma in i en vanlig pdf fil. Kan du få den att öppna någon skadlig kod eller hur fungerar det? Gäller samma kryphål för telefoner?

Nej PDF-filer kan knappast innehålla virus. Däremot kanske länken ser ut som att den leder till en PDF-fil, trots att den i själva verket leder till en annan filtyp.

Och PDF-filer kan innehålla hyperlänkar till filer, men det är ju en annan sak.

Ja pdf kan innehålla aktiv kod. Det finns massor av maskar som sprids den vägen.


Fel. Jätteful. Massor av fel.
Det var ju tillochmed en PDF som användes för att jailbreaka iPhone för en massa versioner sedan.

PDF filer kan innehålla active content som exekveras av läsaren. Hur skulle annars dynamiska formulär etc fungera?

Fel.

PDF kan innehålla virus, det finns både macro och silent exploit för dessa, både publika CVE men även 0days.

En skadig PDF är ofta något som skapar kaos på företag. Oftast så får en på företaget filen, sen får alla den, och fungerar inte endpointen då så får ofta IT avdelningen lite att pyssla med.

Okej PDF kan "innehålla" virus men de kan inte utgöra virussmitta, vilket sannolikt var vad TS undrade över. Precis som att ZIP-filer eller programkod utprintad på papper kan "innehålla" virus, och EXE-filer också förstås kan innehålla virus - vilket dock inte innebär att ZIP-formatet är något som man bör betrakta som osäkert i sig självt och varna för. Typ "akta dig, det ligger papper i skrivaren, det kan vara virus på dem".
Du syftar kanske på "viruset" OUTLOOK.PDFWorm eller Peachy. Det innehöll macro, som bara funkade i betalprogrammet Acrobat. https://forums.adobe.com/thread/302989 Det är då missvisande att hävda att PDF-formatet är osäkert, när osäkerheten snarare låg i den dåtida versionen av Adobe Acrobat (4.0 och 5.0). Att macroscript som exekveras automatiskt kan orsaka oönskade konsekvenser lär väl inte komma som en överraskning - det är ju "by design". Många program på denna tiden var likadana, exempelvis Microsoft Word som var och varannan datoranvändare hade. Senare har man insett vikten av att fråga användaren innan script exekveras, åtminstone om dokumentet kommer från andra än en själv.

Ungefär samma sak är det om någon bakar in länken http://www.example.com/virus.exe i ett PDF-dokument. Man måste fortfarande klicka på den innan nåt farligt händer.

Adobe Reader hade faktiskt ett säkerhetshål i version 5.0.5 (år 2003). Det innebär att ett särskilt programmerat PDF-dokument kunde skriva en fil som la sig i Adobe plugin-mappen och sedan när man startade läsaren igen kunde farlig kod exekveras. Detta skulle jag också säga är en sårbarhet som är kopplad till Adobe Reader 5.0.5 och inte till PDF-formatet som sådant. Denna incident gjorde att Adobe 2009 införde ett "protected mode" där scripten är sandboxade, dvs att uttryckliga permissions behövs för att kunna göra känsliga saker såsom att skriva till filer.
http://blogs.adobe.com/security/2010...cted-mode.html

För övrigt har PDF-läsarprogrammet ett ansvar att göra användaren medveten om en PDF-fil som innehåller ett script. Här är en person som lyckats exekvera saker och ting inbäddade i PDF-filer, men av kommentarerna att döma funkar det bara på EN enda PDF-läsare, en som heter Foxit som jag inte ens hört talas om. Vem tusan har den? Och den PDF-läsaren tillåter inte kommandoradsargument.
https://blog.didierstevens.com/2010/...cape-from-pdf/ Ett "format c:" skulle därmed exempelvis vara omöjligt.
Jag hävdar att det är orimligt att kalla detta för att "PDF-formatet är osäkert". Det är mer korrekt att säga att "en 9 år gammal version av PDF-läsarprogrammet Foxit hade kunnat vara osäkert (om det hade tillåtit fler kommandoradsargument)".

"Det finns 0 day exploits till PDF-filer" säger du alltså. Det får mig att undra om du ens vet vad "0 day exploit" betyder.

PDF-formatet är som bekant ämnat att funka på olika plattformar och även om en specifik PDF-läsare har en sårbarhet eller bara är buggig, så betyder det inte att PDF-formatet har samma sårbarhet även på andra plattformar.

Av naturliga skäl blåser datortidningar etc gärna upp hittade säkerhetsproblem till något som låter större än vad det är, för att de vill sälja lösnummer. Det är en viktig gradskillnad mellan "attackvektor" och real and present danger.

Tittade nyss på denna talken om pdf som verkade intressant
https://media.ccc.de/v/MRMCD2014_-_6...ange_albertini

Här nämns bland annat berliner spargel os
https://github.com/travisgoodspeed/bsos
Ett minimalt os som kan bootas via pdf-läsare. Det har några år på nacken men kanske finns i nyare varianter idag?

Jag öppnade en tråd där jag frågade vissa frågor, och en användare rekommenderade att jag skulle ladda ned en PDF som han lade upp någonstans (och länkade till i tråden).

(FB) Handbok grävande journalistik DRA UT INFO PERSONER/FÖRETAG/ORGANISATIONER/MYNDIGHETER

Är det helt riskfritt att ladda ned en PDF-fil? Kan en PDF-fil innehålla virus/trojaner?

Tack för info/hjälp i frågan.

Mvh

Absolut.

Det var inte ett bra svar på frågan.

Tror inte du ska se det som riskfritt här utan sannolikt att någon skulle försöka ge dig något eller ta sig in i dina enheter.

Han frågade om PDF-filer kan vara skadliga, och jag svarade "absolut". Vad mer önskar du? PDF-filer kan innehålla javascript som innehåller exekverbar kod som är skadlig. Nöjd?