IT-Sicherheit Bochumer Forscher umgehen digitale Signaturen von PDF-Dokumenten
Die digitalen Signaturen sollen Rechnungen und Regierungsdokumente vor Fälschungen schützen. IT-Experten vom Horst-Görtz-Institut hebelten diesen Mechanismus aus, was kaum eine PDF-Anwendung bemerkte.
RUB-Forschern ist es gelungen, die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen bemerkten die Manipulation nicht.
„Digitale Signaturen in PDF-Dokumenten gewährleisten ähnlich wie das kleine grüne Schloss im Webbrowser, dass das Dokument wirklich von dem angegebenen Absender stammt“, erklärt Prof. Dr. Jörg Schwenk vom Horst-Görtz-Institut für IT-Sicherheit. Viele Firmen nutzen signierte PDF-Dateien für Rechnungen, manche Staaten wie Österreich oder die USA schützen damit auch Regierungsdokumente. „Das Unternehmen Adobe bietet einen digitalen Signierdienst an, der nach eigenen Aussagen allein 2017 acht Milliarden Signaturen ausstellte“, veranschaulicht Schwenk.
Er veröffentlichte die Ergebnisse am 25. Februar 2019 gemeinsam mit seinen Kollegen Dr. Vladislav Mladenov, Dr. Christian Mainka, Martin Grothe sowie Karsten Meyer zu Selhausen von der Firma Hackmanit online.
Eine Billion US-Dollar Rückzahlung
Die Forscher überprüften 22 gängige Desktop-Applikationen und sieben Online-Services zum Öffnen und Signieren von PDF-Dateien. Sie probierten drei verschiedene Arten von Angriffen aus. Das Ergebnis: 21 der getesteten Desktop-Anwendungen und fünf Online-Services waren durch mindestens einen der drei Angriffe verwundbar.
Die IT-Experten konnten jeden beliebigen Inhalt der PDF-Dokumente verändern. So verwandelten sie beispielsweise einen zu zahlenden Rechnungsbetrag in eine Kostenrückerstattung von einer Billion US-Dollar, ohne die Signatur der PDF-Rechnung zu kompromittieren.
Sicherheitslücke gemeldet und geschlossen
Da die Sicherheitslücke so weit verbreitet war, wandten sich die Forscher im Oktober 2018 an das Computer Emergency Response Team des Bundesamtes für Sicherheit in der Informationstechnik, um die Schwachstelle zu melden. Mit dessen Unterstützung halfen die Forscher den Entwicklern der PDF-Anwendungen, die Sicherheitslücken zu schließen.
Aktuellste Version installieren
Auf der Webseite der Forscher findet sich eine Liste aller betroffenen Anwendungen inklusive der Angabe, welche Version getestet wurde. Falls ein Nutzer die von der Sicherheitslücke betroffene Version (oder eine ältere Version) installiert hat, sollte er sich bei dem jeweiligen Software-Hersteller erkundigen, ob ein Update für die Software verfügbar ist, raten die Forscher.