eu encontreiesta informação no site Tor:
Você deve ter muito cuidado ao baixar documentos via Tor (especialmente arquivos DOC e PDF), pois esses documentos podem conter recursos da Internet que serão baixados fora do Tor pelo aplicativo que os abre. Isso revelará seu endereço IP não-Tor. Se você precisar trabalhar com arquivos DOC e/ou PDF, recomendamos usar um computador desconectado, baixar o VirtualBox gratuito e usá-lo com uma imagem de máquina virtual com rede desativada ou usar Tails. No entanto, sob nenhuma circunstância é seguro usar BitTorrent e Tor juntos.
Até onde eu sei, as imagens não podem ser incorporadas de uma fonte externa. Então, quais recursos se destinam?
Responder1
Acho que a chave para sua pergunta é: você pode incorporar JavaScipt em um PDF. E este artigo parece explicar esse processo:“Como aprimorar seus formulários PDF com JavaScript”
Assim, você pode incorporar algum código que se conecte a um servidor externo para trocar dados entre o exterior e o seu PC.
Não tenho certeza se existem opções de segurança integradas que limitam se um arquivo PDF pode “ligar para casa”. Talvez isso também dependa do leitor de PDF que está sendo utilizado.
EDITAR:
Para verificar as configurações no Adobe Reader, pressione ctrl-k e selecione Gerenciador de confiança no lado esquerdo. Isso mostra as seguintes opções na minha versão:
Você pode fornecer detalhes sobre quais sites considera aceitáveis para contato com um PDF. Além disso, novamente no lado esquerdo, clique em JavaScript, onde você pode ativar ou desativar o uso do Adobe JavaScript.
De acordo com o comentário de mgutt abaixo, não consigo entender por que você não deveria ser capaz de app.media.getURLData()carregar dados externos se JavaScript, nenhuma outra restrição for definida e, claro, o aplicativo PDF suporta JavaScript.
Responder2
Você apontaisso no site do Tor:
…esses documentos podem conter recursos da Internet que serão baixados fora do Tor pelo aplicativo que os abre.
A palavra-chave ali é “pode” e o aviso – conforme eu o leio – é uma declaração genérica “Vamos ter cuidado lá fora…”.
Não tenho 100% de certeza sobre imagens especificamente, mas existem exploits, ferramentas e tutoriais que descrevem métodos de injeção de exploits de rootkit em PDFscomo este; a ênfase ousada é minha:
Nesta exploração, alteraremos um arquivo .pdf existente que poderá ser postado em nosso site.Quando amigos ou outras pessoas fazem o download, ele abre um ouvinte (um rootkit) em seus sistemas e nos dá controle total de seus computadores remotamente.
E afirmado mais claramente perto do final; novamente a ênfase ousada é minha:
Basta copiar este arquivo para o seu site e convidar os visitantes a baixá-lo. Quando nossa vítima baixa e abre este arquivo do seu site, eleabrirá uma conexão com o seu sistema que você pode usar para executar e possuir o sistema do computador.