Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.
Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi
Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.
“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.
Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.
Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.
Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).
“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.
Source : securityweek
