多年来,如果你想保护文档中的敏感文本,你可以拿一把剪刀或手术刀把信息剪下来。如果这不行,一支粗壮的黑色马克笔也可以。现在大多数文件都是数字化的,安全地编辑它们的内容变得更加困难。政府官员和法院的大多数修订都涉及在pdf文本上放置黑盒。
如果编校不正确,人们的安全和国家安全就会受到威胁。伊利诺伊大学的一个团队进行了一项新研究,研究了最流行的编辑PDF文档的工具,发现其中许多工具都有缺陷。研究人员Maxwell Bland、Anushya Iyer和Kirill Levchenko的研究发现,两种最流行的编辑文档的工具根本不能保护底层文本,文本可以通过复制和粘贴来访问。此外,他们还设计了一种新的攻击方法,可以从编辑过的文本中提取秘密细节。
这些缺陷不仅仅是理论上的。在检查了数百万份经过涂黑处理的公开文件(包括来自美国法院系统、美国监察长办公室和《信息自由法》要求的文件)后,研究人员发现了数千份暴露了人们姓名和其他敏感细节的文件。该论文的主要作者布兰德说:“我与美国法院系统进行了多次讨论,我向他们提供了710份不同的文件,这些文件只是简单的复制粘贴式修订。”
官员们通常会对文件中的某些部分进行修订,因为这些部分包含人们的个人信息,或者他们认为这些信息不应该被公布,以保护某个组织的利益。法庭文件可能会对机密举报人或举报人的姓名进行删节;政策文件可能会对公开后可能损害国家安全的信息进行修订。
在这项已经以预印本形式发表的新研究中,研究小组分析了11种流行的编校工具。他们发现PDFzorro和PDFescape在线允许完全访问据称已被编辑的文本。他们所需要做的就是复制并粘贴文本。研究人员为这两个问题注册了CVE编号(用于对独特的安全漏洞进行分类)。
PDFzorro没有回应《连线》杂志的置评请求。当我们测试该工具时,可以通过高亮显示来访问PDFzorro编校。但是,如果你在下载PDF之前点击“锁定”选项,则无法访问文本。与此同时,PDFescape在线客服代表表示,该软件最近被一家新公司收购,他们已经“推出了PDFescape在线更新”,其中包括安全补丁。他们说:“提到的编校工具已被删除,并将进行重做,以完全合规。”
