是的 - PDF 可以包含恶意内容,并且 PDF 已被用作现实世界攻击中恶意软件的传递机制。这并不意味着每个 PDF 都是危险的,或者您应该害怕打开收到的任何 PDF。但这确实意味着“这只是一个 PDF”。这不是降低警惕的理由。了解如何将 PDF 武器化可以帮助您就打开哪些文件做出明智的决定。
PDF 如何携带恶意内容
PDF 格式支持多种功能,这些功能虽然在正确使用时是合法的,但在被恶意利用时会产生攻击面:
- JavaScript:PDFs 可以包含打开文档时执行的 JavaScript。合法用途包括表单验证和交互式导航。恶意用途包括利用 PDF 阅读器中的漏洞在主机系统上执行代码。
- 嵌入式文件:PDF可以包含任何类型的嵌入式文件 - 包括可执行文件。提示您打开或保存嵌入附件的 PDF 可能会试图让您运行恶意软件。
- 外部链接:PDF可以包含指向外部 URL 的超链接。看似访问合法网站的链接可能会重定向到试图下载恶意软件或窃取凭据的恶意网站。
- 基于漏洞的攻击:某些攻击除了打开文件之外不需要任何用户交互。他们利用特定版本的 PDF 阅读器(尤其是旧版本的 Adobe Reader)中的漏洞,仅通过渲染文档来执行代码。
实践中的风险
您遇到的绝大多数 PDF 都是完全良性的。商业文件、发票、报告、表格、小册子——这些都不包含恶意内容。威胁是特定的:以网络钓鱼电子邮件中的附件或链接形式发送的 PDF,尤其是那些未经请求的电子邮件,似乎来自可靠的来源,或者造成立即打开它们的紧迫性。
风险最高的情况是来自未知或可疑发件人的意外电子邮件中的 PDF 附件 - 特别是当电子邮件要求您启用功能、打开嵌入文件或单击链接以验证某些内容时。这种模式是基于 PDF 的网络钓鱼攻击的标志。
是什么让PDF打开起来更安全或更危险
打开更安全:
- 来自已知、预期来源的 PDF — 与您合作的供应商提供的发票、同事的报告、您要求的文档
- PDF 在浏览器查看器中打开,而不是在完整的桌面应用程序中打开 - 浏览器 PDF 查看器具有更受限制的执行环境
- PDFs,其中 JavaScript 在 PDF 阅读器中被禁用 - Adobe Reader 在“首选项”>“中允许此操作” JavaScript
风险较高:
- 来自未知发件人的意外 PDF,尤其是主题行紧急的
- PDF 提示您启用内容、单击激活或下载嵌入文件
- 来自未经请求的电子邮件中的链接的 PDF,即使发件人看起来很熟悉 — 发件人地址可能被欺骗
实用保护
- 保持您的 PDF 阅读器更新:大多数基于漏洞的 PDF 攻击针对旧阅读器版本中的已知漏洞。当前版本会在发现这些问题时对其进行修补。
- 在 Adobe Reader 中禁用 JavaScript:编辑 >首选项> JavaScript >取消选中“启用 Acrobat JavaScript”。这消除了一整类攻击,而不影响大多数合法的 PDF 功能。
- 在浏览器中打开可疑的 PDF:Chrome 和 Firefox 的内置 PDF 查看器在沙盒环境中运行,该环境限制恶意内容的行为(即使恶意内容执行)。
- 打开前扫描附件:大多数防病毒软件会自动扫描电子邮件附件。对于来源不明的文件,打开前的手动扫描会增加一层验证。
这对在线PDF工具意味着什么
信誉良好的在线PDF 工具 服务(包括位于www.wukongpdf.com 的WukongPDF)在隔离环境中处理PDF 服务器端。安全问题则相反:上传到此类服务的恶意 PDF 会给服务的基础设施带来风险,而不是给您带来风险。为了您自身的安全,需要关注的是您收到并打开的 PDF,而不是您上传到可信处理服务的 PDF。
平衡的观点
PDF 可能包含恶意软件。绝大多数人没有。风险集中在特定场景中——意外附件、紧急请求、未知发件人——只需稍加注意即可识别。让您的阅读器保持更新,在 Adobe Reader 中禁用 JavaScript,对意外的 PDF 采取与应用于意外的可执行文件相同的怀疑态度,对于大多数用户来说,实际风险很小。