Jump to navigation

Logo RUB
  • Energiesparen
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Gruppenfoto
Christian Mainka, Karsten Meyer zu Selhausen, Jörg Schwenk, Martin Grothe und Vladislav Mladenov (von links) deckten die Sicherheitslücke auf.
© RUB, Marquard
IT-Sicherheit

Bochumer Forscher umgehen digitale Signaturen von PDF-Dokumenten

Die digitalen Signaturen sollen Rechnungen und Regierungsdokumente vor Fälschungen schützen. IT-Experten vom Horst-Görtz-Institut hebelten diesen Mechanismus aus, was kaum eine PDF-Anwendung bemerkte.

RUB-Forschern ist es gelungen, die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen bemerkten die Manipulation nicht.

„Digitale Signaturen in PDF-Dokumenten gewährleisten ähnlich wie das kleine grüne Schloss im Webbrowser, dass das Dokument wirklich von dem angegebenen Absender stammt“, erklärt Prof. Dr. Jörg Schwenk vom Horst-Görtz-Institut für IT-Sicherheit. Viele Firmen nutzen signierte PDF-Dateien für Rechnungen, manche Staaten wie Österreich oder die USA schützen damit auch Regierungsdokumente. „Das Unternehmen Adobe bietet einen digitalen Signierdienst an, der nach eigenen Aussagen allein 2017 acht Milliarden Signaturen ausstellte“, veranschaulicht Schwenk.

Er veröffentlichte die Ergebnisse am 25. Februar 2019 gemeinsam mit seinen Kollegen Dr. Vladislav Mladenov, Dr. Christian Mainka, Martin Grothe sowie Karsten Meyer zu Selhausen von der Firma Hackmanit online.

Eine Billion US-Dollar Rückzahlung

Die Forscher überprüften 22 gängige Desktop-Applikationen und sieben Online-Services zum Öffnen und Signieren von PDF-Dateien. Sie probierten drei verschiedene Arten von Angriffen aus. Das Ergebnis: 21 der getesteten Desktop-Anwendungen und fünf Online-Services waren durch mindestens einen der drei Angriffe verwundbar.

Die IT-Experten konnten jeden beliebigen Inhalt der PDF-Dokumente verändern. So verwandelten sie beispielsweise einen zu zahlenden Rechnungsbetrag in eine Kostenrückerstattung von einer Billion US-Dollar, ohne die Signatur der PDF-Rechnung zu kompromittieren.

Sicherheitslücke gemeldet und geschlossen

Da die Sicherheitslücke so weit verbreitet war, wandten sich die Forscher im Oktober 2018 an das Computer Emergency Response Team des Bundesamtes für Sicherheit in der Informationstechnik, um die Schwachstelle zu melden. Mit dessen Unterstützung halfen die Forscher den Entwicklern der PDF-Anwendungen, die Sicherheitslücken zu schließen.

Aktuellste Version installieren

Auf der Webseite der Forscher findet sich eine Liste aller betroffenen Anwendungen inklusive der Angabe, welche Version getestet wurde. Falls ein Nutzer die von der Sicherheitslücke betroffene Version (oder eine ältere Version) installiert hat, sollte er sich bei dem jeweiligen Software-Hersteller erkundigen, ob ein Update für die Software verfügbar ist, raten die Forscher.

Angeklickt
  • Ausführliche Presseinformation
Veröffentlicht
Montag
25. Februar 2019
08.59 Uhr
Von
Julia Weiler (jwe)
Share
Teilen

Digitalisierung

Die RUB nutzt die Möglichkeiten der Digitalisierung in Forschung, Lehre und Verwaltung und erforscht Digitalisierung als gesellschaftliches Phänomen.

Mehr aus dem Dossier

IT-Sicherheit

Die digitale Vernetzung durchdringt inzwischen fast alle Bereiche des Lebens. Schutzmechanismen zu entwickeln ist eine vordringliche Aufgabe.

Mehr aus dem Dossier
Das könnte Sie auch interessieren
Wi-Fi-Router mit IRShield
IT-Sicherheit

Neue Gegenmaßnahme gegen unerwünschte drahtlose Überwachung

Mann lehnt an Wand
Datensicherheit

Die verräterische Null

Eine Person hält eine Drohne in der Hand.
IT-Sicherheit

Sicherheitslücken in Drohnen des Herstellers DJI entdeckt

Derzeit beliebt
Belgacem Derbal steht hinter dem Tresen der Cafeteria und blickt freundlich in die Kamera.
Ruhestand

Jimmy macht Feierabend

Daniel Gutzmann
Germanistik

Daniel Gutzmann ist Spezialist für expressive Sprache

Richtfest mit Richtspruch am Forschungsbau THINK, im Vordergrund steht das Publikum.
Think

Neuer Raum für Neurowissenschaften in Bochum

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt