я нашелэта информация на сайте Tor:
Вам следует быть очень осторожными при загрузке документов через Tor (особенно файлов DOC и PDF), поскольку эти документы могут содержать интернет-ресурсы, которые будут загружены за пределами Tor приложением, которое их открывает. Это раскроет ваш не-Tor IP-адрес. Если вам необходимо работать с файлами DOC и/или PDF, мы настоятельно рекомендуем либо использовать отключенный компьютер, либо загрузить бесплатный VirtualBox и использовать его с образом виртуальной машины с отключенной сетью, либо использовать Tails. Однако ни при каких обстоятельствах небезопасно использовать BitTorrent и Tor вместе.
Насколько мне известно, изображения не могут быть встроены из внешнего источника. Так какие ресурсы имеются в виду?
решение1
Я думаю, что ключ к вашему вопросу в том, можно ли встроить JavaScipt в PDF. И эта статья, кажется, объясняет этот процесс:«Как улучшить ваши PDF-формы с помощью JavaScript»
Таким образом, вы можете внедрить некий код, который подключается к внешнему серверу для обмена данными между ним и вашим ПК.
Я не уверен, существуют ли встроенные параметры безопасности, ограничивающие возможность «звонить домой» файлу PDF. Возможно, это также зависит от используемой программы чтения PDF-файлов.
РЕДАКТИРОВАТЬ:
Чтобы проверить настройки в Adobe Reader, нажмите ctrl-k и выберите Trust manager слева. Это показывает следующие параметры в моей версии:
Вы можете предоставить подробную информацию о том, какие веб-сайты вы считаете приемлемыми для контакта с pdf. Также, снова слева, нажмите на JavaScript, где вы можете включить или выключить использование Adobe JavaScript.
Согласно комментарию mgutt ниже, я не понимаю, почему нельзя использовать app.media.getURLData()JavaScript для загрузки внешних данных, если не установлено никаких других ограничений, и, конечно, приложение PDF поддерживает JavaScript.
решение2
Вы указываетеэто с сайта Tor:
…эти документы могут содержать интернет-ресурсы, которые будут загружены за пределы Tor приложением, которое их открывает.
Ключевое слово здесь — «может», а предупреждение — как я его понимаю — представляет собой общее утверждение: «Давайте будем осторожны там…».
Я не уверен на 100% насчет изображений, но существуют эксплойты, инструменты и руководства, описывающие методы внедрения эксплойтов руткитов в PDF-файлы.такой как этот; жирный шрифт выделен мной:
В этом эксплойте мы изменим существующий файл .pdf, который затем можно будет опубликовать на нашем веб-сайте.Когда друзья или другие люди скачивают его, он открывает прослушиватель (руткит) в их системе и предоставляет нам полный удаленный контроль над их компьютером.
И более ясно сказано ближе к концу; снова жирный шрифт выделен мной:
Просто скопируйте этот файл на свой сайт и предложите посетителям скачать его. Когда наша жертва загружает и открывает этот файл с вашего сайта, оноткроет соединение с вашей системой, которое вы сможете использовать для управления и владения их компьютерной системой.