encontréesta información en el sitio web de Tor:
Debe tener mucho cuidado al descargar documentos a través de Tor (especialmente archivos DOC y PDF), ya que estos documentos pueden contener recursos de Internet que la aplicación que los abre descargará fuera de Tor. Esto revelará su dirección IP que no es Tor. Si debe trabajar con archivos DOC y/o PDF, le recomendamos encarecidamente utilizar una computadora desconectada, descargar VirtualBox gratuito y usarlo con una imagen de máquina virtual con la red deshabilitada o usar Tails. Sin embargo, bajo ninguna circunstancia es seguro utilizar BitTorrent y Tor juntos.
Hasta donde yo sé, las imágenes no se pueden incrustar desde una fuente externa. Entonces, ¿a qué recursos se refiere?
Respuesta1
Creo que la clave de su pregunta es si se puede incrustar JavaScipt en un PDF. Y este artículo parece explicar ese proceso:"Cómo mejorar sus formularios PDF con JavaScript"
Por lo tanto, podría insertar algún código que se conecte a un servidor externo para intercambiar datos entre el exterior y su PC.
No estoy seguro de si existen opciones de seguridad integradas que limiten si un archivo pdf puede "llamar a casa". Quizás esto también dependa del lector de PDF que se esté utilizando.
EDITAR:
Para verificar la configuración en Adobe Reader, presione Ctrl-k y seleccione Administrador de confianza en el lado izquierdo. Esto muestra las siguientes opciones en mi versión:
Puede proporcionar detalles sobre qué sitios web considera aceptables para contactar en un pdf. Además, nuevamente en el lado izquierdo, haga clic en JavaScript, donde puede activar o desactivar el uso de Adobe JavaScript.
Según el comentario de mgutt a continuación, no pude ver por qué no debería poder usarlo app.media.getURLData()para cargar datos externos si JavaScript, no se establecen otras restricciones y, por supuesto, la aplicación pdf admite JavaScript.
Respuesta2
tu apuntasesto desde el sitio web de Tor:
…estos documentos pueden contener recursos de Internet que la aplicación que los abre descargará fuera de Tor.
La palabra clave allí es "puede" y la advertencia, tal como la leo, es una declaración genérica de "tengamos cuidado ahí fuera...".
No estoy 100% seguro acerca de las imágenes específicamente, pero existen exploits, herramientas y tutoriales que describen métodos para inyectar exploits de rootkit en archivos PDF.como este; El énfasis en negrita es mío:
En este exploit, alteraremos un archivo .pdf existente que luego podrá publicarse en nuestro sitio web.Cuando amigos u otras personas lo descarguen, abrirá un oyente (un rootkit) en su sistema y nos dará control total de su computadora de forma remota.
Y dicho más claramente cerca del final; Nuevamente el énfasis en negrita es mío:
Simplemente copie este archivo en su sitio web e invite a los visitantes a descargarlo. Cuando nuestra víctima descarga y abre este archivo desde su sitio web,abrirá una conexión a su sistema que podrá utilizar para ejecutar y poseer su sistema informático.