Bochumer Forscher umgehen digitale Signaturen von PDF-Dokumenten

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: RUB
Veröffentlicht von SecuPedia-Redaktion am 28. Februar 2019.

Bochum, 25.02.2019 - Forschern der Ruhr-Universität Bochum ist es gelungen, die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen bemerkten die Manipulation nicht. Signierte PDF-Dateien werden von vielen Firmen für Rechnungen verwendet; manche Staaten wie Österreich oder die USA schützen damit auch Regierungsdokumente. Die Forscher vom Bochumer Horst-Görtz-Institut für IT-Sicherheit veröffentlichten ihre Ergebnisse am 25. Februar 2019 online unter https://pdf-insecurity.org/.

Da die Schwachstelle fast alle gängigen PDF-Anwendungen und Online-Services betraf, meldeten die Forscher sie im Oktober 2018 an das Computer Emergency Response Team des Bundesamtes für Sicherheit in der Informationstechnik. Mit dessen Unterstützung halfen die Bochumer Forscher Dr. Vladislav Mladenov, Dr. Christian Mainka, Martin Grothe und Prof. Dr. Jörg Schwenk den Entwicklern der PDF-Anwendungen gemeinsam mit Karsten Meyer zu Selhausen von der Firma Hackmanit, die Sicherheitslücken zu schließen.
 

Desktop-Anwendungen und Online-Services getestet

Die Forscher überprüften den Angaben zufolge 22 gängige Desktop-Applikationen für Windows, Linux und Mac OS sowie weitere sieben Online-Services. Bei Letzteren handelt es sich um Webseiten, deren Aufgabe es ist, die Signatur eines hochgeladenen PDF-Dokuments zu überprüfen. Sie werden zum Beispiel von Behörden und Unternehmen verwendet. Für jede Anwendung und jeden Service probierten die Forscher drei verschiedene Angriffsklassen aus: Universal Signature Forgery (USF), Incremental Saving Attack (ISA) und Signature Wrapping Attack (SWA). Sie versuchten, den Inhalt eines Dokuments zu ändern, ohne dass die PDF-Tools das merkten.

Das Ergebnis: 21 der getesteten Desktop-Anwendungen und fünf Online-Services waren durch mindestens einen der drei Angriffe verwundbar, berichtet die RUB. „Die IT-Experten konnten jeden beliebigen Inhalt der PDF-Dokumente verändern. So verwandelten sie beispielsweise einen zu zahlenden Rechnungsbetrag in eine Kostenrückerstattung von einer Billion US-Dollar, ohne die Signatur der PDF-Rechnung zu kompromittieren“, heißt es in einer Mitteilung der RUB.
 

Aktuellste Version installieren

Listen aller analysierten PDF-Anwendungen finden sich unter https://www.pdf-insecurity.org/signature/viewer.html, Listen der analysierten Online-Services unter https://www.pdf-insecurity.org/signature/services.html.

„Nutzerinnen und Nutzer von PDF-Readern können nachschauen, welche Version sie derzeit installiert haben, und diese mit unserer Liste im Internet vergleichen“, so Jörg Schwenk. Falls ein Nutzer die von der Sicherheitslücke betroffene Version (oder eine ältere Version) installiert hat, sollte er sich bei dem jeweiligen Software-Hersteller erkundigen, ob ein Update für die Software verfügbar ist, raten die Forscher. (Quelle: Presseinformation von Ruhr-Universität Bochum vom 25.02.2019)



 

Kategorien E-Mail Service konfigurieren

  • Datenschutz / Datensicherheit
  • Hochschulen, Forschung, Ausbildung

Benutzergruppe

  • Alle Benutzer