I PDF possono contenere risorse caricate da Internet?

Ho trovato queste informazioni sul sito web di Tor :

Dovresti fare molta attenzione quando scarichi i documenti tramite Tor (in particolare i file DOC e PDF) poiché questi documenti possono contenere risorse Internet che verranno scaricate al di fuori di Tor dall'applicazione che li apre. Questo rivelerà l'indirizzo IP non-Tor. Se wherete lavorare con i file DOC e / o PDF, consigliamo vivamente di utilizzare un computer scollegato, scaricare il VirtualBox gratuito e utilizzarlo con un'image della macchina virtuale con la networking distriggersta o utilizzando Tails. Tuttavia, in nessun caso è sicuro utilizzare BitTorrent e Tor insieme.

Le immagini non possono essere incorporate da una fonte esterna per quanto ne so. Quindi quali risorse sono intese?

Penso che la chiave della tua domanda è che puoi incorporare JavaScipt in un PDF. E questo articolo sembra spiegare questo process: "Come migliorare i tuoi moduli PDF con JavaScript"

Così potresti incorporare un codice che si connette a un server esterno per scambiare dati tra l'esterno e il PC.

Non sono sicuro se ci sono opzioni di protezione incorporate che limitano se un file PDF può "call a casa". Forse dipende anche dal lettore PDF che viene utilizzato.

EDIT:

Per controllare le impostazioni in Adobe Reader, premi il command ctrl-k e seleziona Gestore attendibili sul lato sinistro. Ciò mostra le seguenti opzioni nella mia versione:

Impostazioni di Adobe Trust Manager

È ansible fornire informazioni sui siti che ritieni accettabili per un contatto con il pdf. Inoltre, ancora sul lato sinistro, fai clic su JavaScript, in cui puoi triggersre o distriggersre l'utilizzo di Adobe JavaScript.

Come segue per il commento di mgutt, non sono riuscito a capire perché non dovresti essere in grado di utilizzare app.media.getURLData() per caricare dati esterni se JavaScript, non sono impostate altre restrizioni e, naturalmente, l'applicazione pdf support JavaScript.

Lo metti in evidenza dal sito web di Tor :

… questi documenti possono contenere risorse Internet che verranno scaricate al di fuori di Tor dall'applicazione che li apre.

La parola chiave in essa è "può" e l'avviso – come lo lesso – è un generico "Let's be careful there …" dichiarazione.

Non sono 100% sicuro delle immagini in modo specifico, ma esistono exploit, strumenti e tutorial che descrivono i methods per iniettare i exploit di rootkit in un PDF come questo ; l'enfasi audace è mia:

In questo exploit, modificheremo un file .pdf esistente che può essere inviato sul nostro sito web. Quando gli amici o altri lo scaricano, aprirà un ascoltatore (un rootkit) sul loro sistema e ci darà il controllo totale del loro computer in remoto.

E più chiaramente dichiarato vicino alla fine; ancora una volta l'enfasi coraggiosa è mia:

Basta copiare questo file nel tuo sito web e invitare i visitatori a scaricarlo. Quando la nostra vittima scarica e apre questo file dal tuo sito web, aprirà una connessione al tuo sistema che puoi utilizzare per eseguire e possedere il proprio sistema informatico.