jueves, 15 de febrero de 2018

PDF Portfolio de Acrobat. Ningún problema

En los últimos días me han enviado documentación embebida en un portfolio de Acrobat. En un principio parece que nada podemos hacer con el portfolio...


pero es simplemente por que evince por defecto abre el PDF mostrando miniaturas, y lo único que hay que hacer es elegir adjuntos, como en la siguiente captura de pantalla y listo. He ocultado los nombres de los ficheros incluidos por que no son de mi autoría, pero se ve claramente como se pueden ir visualizando todos los documentos y extraer copias, imprimir etc...


No veo la necesidad de incluir esta "función" en Acrobat, salvo generar una "dependencia" en el programa y atar a sus usuarios bajo el anillo que los controla a todos. Aun así, no se evita que lo podamos utilizar con otro software (eviten la tentación de instalar Acrobat) ni supone ningún control sobre el malware que puede entrar en los PDF (u otro tipo de ficheros que se pueden incluir en el portfolio). Eso sí, me ha dejado 2 minutos pensando si era posible manejar los documentos, hasta que me he dado cuenta del problema.

Para que veamos el problema de seguridad, en un portfolio se pueden incluir muchos tipos de ficheros (tomado de aquí)
"...you could assemble all the documents for a specific project, including text documents, email messages, spreadsheets, CAD drawings, and PowerPoint presentations. The original files retain their individual identities, but are still part of the PDF Portfolio file. Each component file can be opened, read, edited, and formatted without affecting the other documents in the PDF Portfolio." Es decir, se puede introducir código malicioso en los PDFs, como sabemos, macros en ficheros de Office, etc... Y aun mejor, manipular el portfolio, editar los ficheros internos y devolverlos con todo el malware que se quiera poner en su interior, o como dice la nueva moda, simplemente unos accesos desde los cuales te inyectan el malware. ¡No me gusta este invento!

No hay comentarios:

Publicar un comentario