Ein Team von Forschern der Ruhr-Universität Bochum hat Schwachstellen in häufig genutzten PDF-Anwendungen gefunden, die es erlauben, digitale Signaturen von Dokumenten zu fälschen. Betroffen sind 21 von 22 überprüften Desktop-Apps. Die Fehler treten zudem bei sechs von acht geprüften Online-Diensten für die digitale Signierung von PDF-Dateien auf.
Unter anderem sind Adobes Acrobat Reader, Foxit Reader und der in LibreOffice integrierte PDF-Viewer angreifbar. Zu den unsicheren Online-Diensten gehören DocuSign und Evotrust. Die jeweiligen Anbieter wurden seit Anfang Oktober von den fünf Forschern sowie Experten des Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik informiert.
Mit ihren Erkenntnissen gingen die Forscher erst jetzt an die Öffentlichkeit, um den betroffenen Anbietern die Möglichkeit zu geben, ihre Anwendungen und Dienste vorab zu patchen. Diesen Schritt begründeten sie mit der Bedeutung digital signierter PDF-Dateien. Sie werden unter anderem für rechtlich verbindliche Vereinbarungen, Anträge bei Gerichten und Behörden oder zur Genehmigung von finanziellen Transaktionen benutzt.
In seinem Forschungsbericht beschreibt das Team um Vladislav Mladenov insgesamt drei Angriffe beziehungsweise Sicherheitslücken. Sie führen dazu, dass sich der Inhalt von bereits signierten Dokumenten beliebig ändern lässt, ohne dass die Signatur ihre Gültigkeit verliert. „Wir können also ein von invoicing@amazon.de signiertes Dokument erstellen, das uns eine Billion Dollar erstattet“, schreiben die Forscher auf ihrer Website.
Galaxy S10+ ausprobiert
Für das Galaxy S10+ ruft Samsung mit 1249 Euro einen stolzen Preis auf. Dafür erhält man ein spitzenmäßig verarbeitetes Smartphone mit 512 GByte Speicher und 8 GByte RAM. Das Display mit Kameraloch hinterlässt jedoch einen zwiespältigen Eindruck.
Beim ersten Angriff, Universal Signature Forgery (USF) genannt, kann ein Angreifer das Prüfverfahren für die digitale Signatur täuschen und dazu bringen, dass eine App die Gültigkeit einer veränderten oder ungültigen Signatur bestätigt. Beim Incremental Saving Attack (ISA) wird einem signierten Dokument weiterer Inhalt hinzugefügt – ohne die vorhandene Signatur zu schwächen. Der Signature-Wrapping-Angriff wiederum täuscht die Signaturprüfung, sodass diese den hinzugefügten Inhalt umgeht und somit die Aktualisierung des Dokuments digital signiert.
„Fall Sie eine der von uns analysierten Desktop-Viewer verwenden, sollten Sie bereits ein Update erhalten haben“, erklärten die Forscher. Andernfalls raten die Forscher, ein manuelles Update auszuführen, um zu verhindern, dass ihnen manipulierte signierte PDF-Dateien untergeschoben werden. „Derzeit sind uns keine Exploits bekannt, die unsere Angriffe nutzen.“
Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Neueste Kommentare
Noch keine Kommentare zu Forscher knacken digitale Signaturen der meisten Desktop-PDF-Viewer
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.