Jump to navigation

Logo RUB
  • Energiesparen
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Presseinformation
Gruppenfoto
Christian Mainka, Karsten Meyer zu Selhausen, Jörg Schwenk, Martin Grothe und Vladislav Mladenov (von links) deckten die Sicherheitslücke auf.
© RUB, Marquard
IT-Sicherheit

Bochumer Forscher umgehen digitale Signaturen von PDF-Dokumenten

Die digitalen Signaturen sollen Rechnungen und Regierungsdokumente vor Fälschungen schützen. Bochumer Forscher hebelten diesen Mechanismus aus, was kaum eine PDF-Anwendung bemerkte.

Forschern der Ruhr-Universität Bochum ist es gelungen, die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen bemerkten die Manipulation nicht. Signierte PDF-Dateien werden von vielen Firmen für Rechnungen verwendet; manche Staaten wie Österreich oder die USA schützen damit auch Regierungsdokumente. Die Forscher vom Bochumer Horst-Görtz-Institut für IT-Sicherheit veröffentlichten ihre Ergebnisse am 25. Februar 2019 online.

Da die Schwachstelle fast alle gängigen PDF-Anwendungen und Online-Services betraf, meldeten die Forscher sie im Oktober 2018 an das Computer Emergency Response Team des Bundesamtes für Sicherheit in der Informationstechnik. Mit dessen Unterstützung halfen die Bochumer Forscher Dr. Vladislav Mladenov, Dr. Christian Mainka, Martin Grothe und Prof. Dr. Jörg Schwenk den Entwicklern der PDF-Anwendungen gemeinsam mit Karsten Meyer zu Selhausen von der Firma Hackmanit, die Sicherheitslücken zu schließen.

PDF-Signaturen weit verbreitet

„Digitale Signaturen in PDF-Dokumenten gewährleisten ähnlich wie das kleine grüne Schloss im Webbrowser, dass das Dokument wirklich von dem angegebenen Absender stammt“, erklärt Jörg Schwenk. „Viele Deutsche bezahlen ihre Rechnungen täglich per Überweisung auf Basis solcher signierten Dokumente.“

Seit in der Europäischen Union 2014 die Regulierung zu „Electronic Identification, Authentication and Trust Services“ in Kraft getreten ist, sind digitale Signaturen weit verbreitet. Viele große Unternehmen nutzen sie für Rechnungen, Verträge bei EU-Projekten werden in der Regel digital signiert, und in Österreich geschieht das auch bei allen Gesetzen. „Das Unternehmen Adobe bietet einen digitalen Signierdienst an, der nach eigenen Aussagen allein 2017 acht Milliarden Signaturen ausstellte“, veranschaulicht Jörg Schwenk.

Desktop-Anwendungen und Online-Services getestet

Um PDF-Dateien zu öffnen, existieren zahlreiche Tools. Die Forscher überprüften 22 gängige Desktop-Applikationen für Windows, Linux und Mac OS sowie weitere sieben Online-Services. Bei Letzteren handelt es sich um Webseiten, deren Aufgabe es ist, die Signatur eines hochgeladenen PDF-Dokuments zu überprüfen. Sie werden zum Beispiel von Behörden und Unternehmen verwendet.

Die Forscher probierten für jede Anwendung und jeden Service drei verschiedene Angriffsklassen aus: Universal Signature Forgery (USF), Incremental Saving Attack (ISA) und Signature Wrapping Attack (SWA). Sie versuchten, den Inhalt eines Dokuments zu ändern, ohne dass die PDF-Tools das merkten.

Eine Billion US-Dollar Rückzahlung

Das Ergebnis: 21 der getesteten Desktop-Anwendungen und fünf Online-Services waren durch mindestens einen der drei Angriffe verwundbar. Die IT-Experten konnten jeden beliebigen Inhalt der PDF-Dokumente verändern. So verwandelten sie beispielsweise einen zu zahlenden Rechnungsbetrag in eine Kostenrückerstattung von einer Billion US-Dollar, ohne die Signatur der PDF-Rechnung zu kompromittieren.

Aktuellste Version installieren

Listen aller analysierten PDF-Anwendungen und Online-Services finden sich auf der Webseite zum Angriff.

„Nutzerinnen und Nutzer von PDF-Readern können nachschauen, welche Version sie derzeit installiert haben, und diese mit unserer Liste im Internet vergleichen“, sagt Jörg Schwenk. Falls ein Nutzer die von der Sicherheitslücke betroffene Version (oder eine ältere Version) installiert hat, sollte er sich bei dem jeweiligen Software-Hersteller erkundigen, ob ein Update für die Software verfügbar ist, raten die Forscher.

Pressekontakt

Dr. Vladislav Mladenov
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26742
E-Mail: vladislav.mladenov@rub.de

Dr. Christian Mainka
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26796
E-Mail: christian.mainka@rub.de

Download hochauflösender Bilder
Der Download der gewählten Bilder erfolgt als ZIP-Datei.
Bildzeilen und Bildnachweise finden Sie nach dem Entpacken in der enthaltenen HTML-Datei.
Nutzungsbedingungen
Die Verwendung der Bilder ist unter Angabe des entsprechenden Copyrights für die Presse honorarfrei. Die Bilder dürfen ausschließlich für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum verwendet werden, die sich auf die Inhalte des Artikels bezieht, der den Link zum Bilderdownload enthält.
Ich akzeptiere die Nutzungsbedingungen.
Veröffentlicht
Montag
25. Februar 2019
08.19 Uhr
Von
Julia Weiler (jwe)
Share
Teilen
Das könnte Sie auch interessieren
Smartphone zeigt Corona Warn App
Informationstechnik

App-zeptiert?

Eröffnung
Einblick

CASA im Wissenschaftspodcast „Exzellent Erklärt“

Mann lehnt an Wand
Datensicherheit

Die verräterische Null

Derzeit beliebt
2 Studentinnen auf einer Decke auf der G-Wiese.
Veranstaltungstipp

Ein Tag, drei Veranstaltungen

Blick in den Untersuchungsraum
Innovative Bildgebung

Post-Covid und Muskelschmerz

Menschen arbeiten unter Tage
Digitale Lernplattform

Erzählte Bergbaugeschichte für den Schulunterricht

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt