Chrome 被發現讀取 PDF 漏洞可洩漏電腦資料

Chrome 被發現讀取 PDF 漏洞可洩漏電腦資料

雖然坊間有不少 PDF 閱讀軟件如 Adobe Reader ,不過以方便程度來說, Google Chrome 是最就手的 PDF 閱讀軟件。但是,有網絡保安機構就發現,用 Chrome 來讀取經過處理的 PDF 檔,有機會將一些電腦資料外洩。

據網絡保安機構 EdgeSpot 的公布指出,他們在去年 12 月發現一些可疑 PDF 檔案在網絡上流傳,如果用 Adobe Reader 等軟件來閱覽該些 PDF 文件是沒有問題的,但是如果下載回來之後用 Google Chrome 來閱讀的話,就會出現一些不尋常的網絡流量。

打開下載回來的 PDF 檔案,表面看來沒有甚麼問題⋯⋯

打開下載回來的 PDF 檔案,表面看來沒有甚麼問題⋯⋯

但是用網絡封包分析軟件 Wireshark 查看,就會發現不尋常的通信。

但是用網絡封包分析軟件 Wireshark 掃描網絡,就會發現不尋常的通信。

經過 EdgeSpot 調查之後,發現 Google Chrome 在閱讀這些可疑 PDF 時,會在用戶毫不知情下,背後傳送一些電腦資料到 readnotify.com 這個網域。這些資料包括用戶的 IP 地址、 OS 版本、 Chrome 版本和存放 PDF 檔案的完整路徑。

EdgeSpot 方面聯絡 Google 之後,獲知 Google 將會在 4 月更新中修正這漏洞。雖然這些資料未算太敏感,但坊間已有針對這漏洞的 PDF 檔案流傳,而更新卻還要多等一段時間, EdgeSpot 就認為先通知用戶較好,所以未等更新推出就公開這個漏洞的資料。

對於一般用戶來說,既然未有修正更新,為免受到影響,暫時還是別以 Chrome 來開啟 PDF 檔比較好。