許多人愛用的Google
Chrome擁有內建PDF閱讀功能,讓我們能快速開啟各種PDF檔案,例如信用卡電子帳單。只是以業界人士的角度來看,這類網路瀏覽器內建的PDF閱讀功能,像是Edge、Firefox、Chrome等等,都只能視為「便利性大於功能性」的設計而已。
若是我們仔細閱讀PDF2.0 (ISO 32000-2)的規格,就會發現連一個看似單純的閱讀PDF,都必須符合許多ISO所規範的標準,絕對不是想像中這麼簡單。所以對於一般使用者足夠的Chrome,對於企業用戶或是專業人士來說,可能就會有所不足,或是有資安疑慮產生。
但這個回傳資料的行為,在研究人員用桌面版PDF閱讀器時並沒有發生,而只限於Chrome上存在。然而,我們不必馬上開始憂慮這件事情,因為截至目前為止還沒有發現其他的惡意程式碼。儘管如此,這些收集的資訊也很難說會不會被用於幫助有心人士進行網路攻擊。
即使這類利用Chrome漏洞的PDF文件或許不是出於惡意的產物,我們也不能掉以輕心。
Google目前已經得知了這件事情,並表示會在2019年4月底左右釋出更新版。在那之前,大家還是別用Chrome開啟來路不明的PDF檔案吧!