我發現Tor 網站上的此訊息:
透過 Tor 下載文件(尤其是 DOC 和 PDF 文件)時應非常小心,因為這些文件可能包含網路資源,這些資源將由開啟它們的應用程式在 Tor 之外下載。這將顯示您的非 Tor IP 位址。如果您必須使用 DOC 和/或 PDF 文件,我們強烈建議您使用斷開連接的電腦、下載免費的 VirtualBox 並將其與禁用網路的虛擬機器映像一起使用,或使用 Tails。然而,在任何情況下同時使用 BitTorrent 和 Tor 都是不安全的。
據我所知,無法從外部來源嵌入圖像。那麼具體指的是哪些資源呢?
答案1
我認為你問題的關鍵是你能否將JavaScipt嵌入PDF中。這篇文章似乎解釋了這個過程:“如何使用 JavaScript 增強 PDF 表單”
因此,您可以嵌入一些連接到外部伺服器的程式碼,以便在外部和您的 PC 之間交換資料。
我不確定是否有內建的安全選項限制 pdf 文件是否可以「打電話回家」。也許這也取決於所使用的 PDF 閱讀器。
編輯:
若要檢查 Adobe Reader 中的設置,請按 ctrl-k 並選擇左側的信任管理員。這在我的版本上顯示了以下選項:
您可以提供您認為可以聯絡 pdf 的網站的詳細資訊。另外,再次在左側按一下“JavaScript”,您可以在其中開啟或關閉 Adobe JavaScript 的使用。
app.media.getURLData()根據下面 mgutt 的評論,我不明白為什麼如果 JavaScript、沒有設定其他限制並且 pdf 應用程式支援 JavaScript,那麼您不應該能夠使用它來載入外部資料。
答案2
你指點這是來自 Tor 網站的:
…這些文件可以包含網路資源,這些資源將由開啟它們的應用程式在 Tor 之外下載。
其中的關鍵字是“可以”,而警告——正如我所讀到的——是一個通用的“讓我們小心……”聲明。
我對圖像不是 100% 確定,但存在漏洞利用、工具和教程,它們描述了將 rootkit 漏洞利用注入 PDF 的方法比如這個;我的大膽強調是:
在此漏洞中,我們將更改現有的 .pdf 文件,然後將其發佈到我們的網站。當朋友或其他人下載它時,它將在他們的系統上打開一個偵聽器(rootkit),並讓我們遠端完全控制他們的電腦。
在接近尾聲時更清楚地說明;我再次大膽強調:
只需將此文件複製到您的網站並邀請訪客下載即可。當我們的受害者從您的網站下載並打開此文件時,它將打開與您的系統的連接,您可以使用該連接來運行和擁有他們的電腦系統。