Yaklaşık 40 bin PDF dosyası üzerinde yapılan bir araştırma, pek çok kritik verinin dosyanın ulaştığı kişilerce görüntülenebildiğini ortaya koydu.
Grenoble Alpes Üniversitesi ve Fransa Ulusal Üniversitesi’nden iki araştırmacı, Supriya Adhatarao ve Cedric Lauradox, yaptıkları araştırmayla PDF dosyaları ve kritik veriler arasındaki ilişkiyi ortaya koydu. 47 ülkedeki, güvenlik ajansları tarafından gerçekleştirilen 75 güvenlik soruşturmasını içeren ve toplamda 40 bin’e yakın PDF dosyası üzerinde yapılan analiz, bu dosyaları daha önceden kullanmış kişileri tanımlamak için çok sayıda veri içerdiğini gösterdi.
“Exploitation and Sanitization of Hidden Data in PDF Files” başlığıyla yayınlanan araştırmaya göre yalnızca yüzde 7’lik bir kesim yayınladıkları PDF’ler üzerindeki, kendilerine ait verileri temizlemek için bir çaba sarf etti. Bazı işlemlerde zayıf temizleme teknikleri kullanıldığını tespit eden araştırmacılar, güvenlik ajanslarının daha titiz davranmaları gerektiğini açıkladı.
Araştırmaya göre PDF dosyalarını açtığımızda görülmeyen ancak verileri depolamak için kullanılan dolaylı sekiz tür nesne çeşitli kritik verileri içeriyor. Bu nesneler arasında diziler, boole değerleri, sözlükler, isimler, sayılar, akışlar ve boş nesneler gibi bilgiler bulunuyor.
Dosyalar hedefli saldırılarda kullanılabilir
NSA’e göre PDF dosyalarında meta veriler, gömülü içerik ve ekli dosyalar, komut dosyaları, gizli katmanlar, gömülü arama dizini, depolanmış etkileşimli form verileri, gözden geçirmeler ve yorumlar, gizlenmiş sayfalar, görüntü ve güncelleme verileri olmak üzere 11 temel gizli veri türü bulunuyor.
Bir PDF dosyası içindeki görüntülerle ilişkilendirilen meta veriler, yayınlanmadan önce kaldırılmayan yorumlar ve ek açıklamalar yazar hakkında bilgi toplamak için kullanılabiliyor. Acrobat’ı geliştiren Adobe dahil olmak üzere PDF dosyalarını temizleyen farklı araçlar ve bu araçlarla yapılabilecek dört temizleme düzeyi bulunuyor. Araştırmayı gerçekleştiren akademisyenler belgelerin %4’ünün yazar adını içerdiğini, %76’sının meta veri içerdiğini ve %42’sinin kullanılan işletim sistemine dair bilgi içerdiğini belirtiyor.
Bu dosyalarda ayrıca 52 dosyada resmi adresler, 581 dosyada donanımın markası ve 1814 dosyada ise yamalar dahil olmak üzere çok sayıda e-posta adresine ulaşılabiliyor.
Araştırmacıların dikkat çektiği bir başka konu da PDF dosyalarının neredeyse yarısının işletim sistemi verilerini sızdırması nedeniyle hedefli saldırılarda siber saldırganlar tarafından kullanılabileceği.