Bau -> Redaktion  || < älter bausoftware/2019/0032 jünger > >>|  

Bochumer Forscher knacken digitale Signaturen von PDF-Dokumenten


  

(25.2.2019) Digitale Signaturen sollen Rechnungen und Regierungsdokumente vor Fälschungen schützen. Forscher vom Bochumer Horst-Görtz-Institut für IT-Sicherheit gelang es nun aber, diesen Mechanismus auszuhebeln und die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-An­wen­dun­gen bemerkten die Manipulation nicht.

Zur Erinnerung: Signierte PDF-Dateien werden von vielen Firmen für Rechnungen und rechtswirksame Dokumente verwendet; manche Staaten wie Österreich oder die USA schützen damit auch Regierungsdokumente. „Digitale Signaturen in PDF-Dokumenten gewährleisten ähnlich wie das kleine grüne Schloss im Webbrowser, dass das Dokument wirklich von dem angegebenen Absender stammt“, erklärt Prof. Dr. Jörg Schwenk. „Viele Deutsche bezahlen ihre Rechnungen täglich per Überweisung auf Basis solcher signierten Dokumente. ... Das Unternehmen Adobe bietet einen digitalen Sig­nier­dienst an, der nach eigenen Aussagen allein 2017 acht Milliarden Signaturen ausstellte.“

Desktop-Anwendungen und Online-Services betroffen

Um PDF-Dateien zu öffnen, existieren zahlreiche Tools. Die Forscher überprüften 22 gängige Desktop-Applikationen für Windows, Linux und Mac OS (siehe Liste) sowie weitere sieben Online-Services (siehe Liste). Bei Letzteren handelt es sich um Webseiten, deren Aufgabe es ist, die Signatur eines hochgeladenen PDF-Dokuments zu überprüfen. Sie werden zum Beispiel von Behörden und Unternehmen verwendet.

Die Forscher probierten für jede Anwendung und jeden Service drei verschiedene Angriffsklassen aus: Universal Signature Forgery (USF), Incremental Saving Attack (ISA) und Signature Wrapping Attack (SWA). Sie versuchten, den Inhalt eines Dokuments zu ändern, ohne dass die PDF-Tools das merkten.

Das Ergebnis: 21 der getesteten Desktop-Anwendungen und fünf Online-Services waren durch mindestens einen der drei Angriffe verwundbar. Die IT-Experten konnten jeden beliebigen Inhalt der PDF-Dokumente verändern. So verwandelten sie beispielsweise einen zu zahlenden Rechnungsbetrag in eine Kostenrückerstattung von einer Billion US-Dollar, ohne die Signatur der PDF-Rechnung zu kompromittieren.

Schutz durch aktuellste Versionen

Prof. Schwenk rät nachzuschauen, welche PDF-Reader-Version derzeit installiert ist, und das mit den veröffentlichten Listen abzugleichen - siehe Liste der Desktop-Appli­ka­tionen bzw. Liste der Online-Services. Falls ein Nutzer die von der Sicherheitslücke betroffene Version (oder eine ältere Version) installiert hat, sollte er sich bei dem jeweiligen Software-Hersteller erkundigen, ob ein Update für die Software verfügbar ist.

siehe auch für zusätzliche Informationen:

Impressum | Datenschutz © 1997-2019 ARCHmatic - Alfons Oebbeke (Google+, XING, linkedin)
ANZEIGE