Forscher knacken digitale Signaturen der meisten Desktop-PDF-Viewer

Ein Team von Forschern der Ruhr-Universität Bochum hat Schwachstellen in häufig genutzten PDF-Anwendungen gefunden, die es erlauben, digitale Signaturen von Dokumenten zu fälschen. Betroffen sind 21 von 22 überprüften Desktop-Apps. Die Fehler treten zudem bei sechs von acht geprüften Online-Diensten für die digitale Signierung von PDF-Dateien auf.

Unter anderem sind Adobes Acrobat Reader, Foxit Reader und der in LibreOffice integrierte PDF-Viewer angreifbar. Zu den unsicheren Online-Diensten gehören DocuSign und Evotrust. Die jeweiligen Anbieter wurden seit Anfang Oktober von den fünf Forschern sowie Experten des Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik informiert.

Mit ihren Erkenntnissen gingen die Forscher erst jetzt an die Öffentlichkeit, um den betroffenen Anbietern die Möglichkeit zu geben, ihre Anwendungen und Dienste vorab zu patchen. Diesen Schritt begründeten sie mit der Bedeutung digital signierter PDF-Dateien. Sie werden unter anderem für rechtlich verbindliche Vereinbarungen, Anträge bei Gerichten und Behörden oder zur Genehmigung von finanziellen Transaktionen benutzt.

In seinem Forschungsbericht beschreibt das Team um Vladislav Mladenov insgesamt drei Angriffe beziehungsweise Sicherheitslücken. Sie führen dazu, dass sich der Inhalt von bereits signierten Dokumenten beliebig ändern lässt, ohne dass die Signatur ihre Gültigkeit verliert. „Wir können also ein von invoicing@amazon.de signiertes Dokument erstellen, das uns eine Billion Dollar erstattet“, schreiben die Forscher auf ihrer Website.

HIGHLIGHT

Galaxy S10+ ausprobiert

Für das Galaxy S10+ ruft Samsung mit 1249 Euro einen stolzen Preis auf. Dafür erhält man ein spitzenmäßig verarbeitetes Smartphone mit 512 GByte Speicher und 8 GByte RAM. Das Display mit Kameraloch hinterlässt jedoch einen zwiespältigen Eindruck.

Beim ersten Angriff, Universal Signature Forgery (USF) genannt, kann ein Angreifer das Prüfverfahren für die digitale Signatur täuschen und dazu bringen, dass eine App die Gültigkeit einer veränderten oder ungültigen Signatur bestätigt. Beim Incremental Saving Attack (ISA) wird einem signierten Dokument weiterer Inhalt hinzugefügt – ohne die vorhandene Signatur zu schwächen. Der Signature-Wrapping-Angriff wiederum täuscht die Signaturprüfung, sodass diese den hinzugefügten Inhalt umgeht und somit die Aktualisierung des Dokuments digital signiert.

„Fall Sie eine der von uns analysierten Desktop-Viewer verwenden, sollten Sie bereits ein Update erhalten haben“, erklärten die Forscher. Andernfalls raten die Forscher, ein manuelles Update auszuführen, um zu verhindern, dass ihnen manipulierte signierte PDF-Dateien untergeschoben werden. „Derzeit sind uns keine Exploits bekannt, die unsere Angriffe nutzen.“

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sinequa-Marktbefragung in UK, Frankreich und Deutschland: In punkto DSGVO-Reife hält sich jeder für den Spitzenreiter

Zwei Jahre nach Inkrafttreten der EU-weiten DSGVO-Datenschutzbestimmungen hat der Anbieter kognitiver Such- und Analysesoftware eine Umfrage in drei europäischen Ländern…

20 Stunden ago

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

1 Tag ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

2 Tagen ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

2 Tagen ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

2 Tagen ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

2 Tagen ago