idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
07/22/2020 08:06

Inhalte von signierten PDF-Dokumenten unbemerkt veränderbar

Dr. Julia Weiler Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Eine neue Sicherheitslücke in der digitalen Signatur von PDF-Dokumenten haben Forscher des Horst-Görtz-Instituts für IT-Sicherheit (HGI) der Ruhr-Universität Bochum gefunden. PDF-Signaturen werden verwendet, um wichtige Dokumente wie Rechnungen oder Verträge vor Veränderungen zu schützen. Bereits 2019 hatte die Gruppe darauf aufmerksam gemacht, dass Inhalte von PDF-Dokumenten trotz Signatur manipuliert werden können. Die Hersteller vieler PDF-Anwendungen hatten daraufhin Gegenmaßnahmen ergriffen. In der aktuellen Studie zeigen die IT-Experten, dass sich Dokumenteninhalte trotzdem in vielen Programmen auf mehrere Weisen unbemerkt verändern lassen.

    Details zu den Angriffen, die sie Shadow Attacks tauften, veröffentlichten die Wissenschaftler am 22. Juli 2020 auf der Webseite https://pdf-insecurity.org/. Die Schwachstellen meldeten sie zuvor dem Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik. In welchen Anwendungen die Schwachstelle bereits behoben ist, kann online eingesehen werden (https://pdf-insecurity.org/signature-shadow/evaluation_2020.html).

    Nach Bekanntwerden der 2019 beschriebenen Sicherheitslücken basierte eine weitverbreitete Gegenmaßnahme darauf, Nutzerinnen und Nutzer über Veränderungen an einem signierten PDF-Dokument zu informieren. Die Veränderungen werden dabei in „potenziell gefährlich“ und „ungefährlich“ eingestuft. Die ungefährlichen und somit erlaubten Änderungen an den PDF-Dokumenten untersuchten Dr. Christian Mainka, Dr. Vladislav Mladenov (zurzeit Gastprofessor an der Universität Konstanz), Simon Rohlmann und Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit genauer.

    Fast alle untersuchten Programme haben Schwachstellen

    Die Forscher überprüften 28 populäre PDF-Dokumentenbetrachter für die Betriebssysteme Windows, Mac-OS und Linux. Bei 15 Anwendungen fanden sie gravierende Schwachstellen: Nutzerinnen und Nutzer erhielten keine Warnung, dass das Dokument verändert worden war. Weitere zehn Anwendungen zeigten zwar Hinweise an, stuften die getätigten Veränderungen aber nicht als Manipulation ein. „Das Ergebnis ist alarmierend. Wir konnten Teile oder sogar das gesamte signierte Dokument manipulieren, ohne dass die Signaturprüfung diese Veränderung bemerkte“, sagt Vladislav Mladenov.

    Eine Übersicht aller getesteten und betroffenen Anwendungen ist online einsehbar (https://pdf-insecurity.org/signature-shadow/evaluation_2020.html).

    Zweistufiger Angriff

    Die Shadow Attacks erfolgen in zwei Phasen. Während der Vorbereitung nutzt ein Angreifer Eigenschaften der PDF-Datenstruktur aus, um Inhalte unsichtbar im PDF zu verstecken – wie einen Schatten. Das vorbereitete Dokument legt er dann einem Signierer vor, zum Beispiel dem Vorgesetzten oder Konsortialpartner. Dieser möchte das Dokument – etwa eine Rechnung oder einen Vertrag – signieren und prüft in seiner PDF-Anwendung den angezeigten Inhalt. Für ihn sieht das Dokument einwandfrei aus, sodass er es digital unterschreibt. Aufgabe der digitalen Signatur ist es nun, den Inhalt der PDF-Datei vor Veränderungen zu schützen.

    Anschließend erhält der Angreifer die signierte Datei und macht den ursprünglich platzierten, versteckten Inhalt sichtbar. In der Regel werden solche Änderungen am Dokument als ungefährlich eingestuft, weil kein neuer Inhalt hinzugefügt wird, sondern lediglich Inhalte aus dem signierten Bereich genutzt werden. Die Manipulation kann den angezeigten Inhalt des Dokumentes aber komplett verändern.

    Drei Arten von Shadow Attacks

    Das HGI-Team testete drei verschiedene Angriffsklassen. Bei der „Shadow Attack Hide” werden die für die Opfer relevanten Inhalte hinter einer sichtbaren Schicht verborgen. Ein Angreifer könnte zum Beispiel den Text „Unterzeichnen Sie hier für Ihre Kündigung“ hinter einem ganzseitigen Bild verstecken, auf dem steht: „Unterzeichnen Sie hier, um den Bonus zu erhalten“.

    Die Idee hinter der Angriffsklasse „Shadow Attack Replace“ ist es, dem signierten Dokument neue Objekte hinzuzufügen, die als harmlos gelten, aber die Darstellung des signierten Inhalts direkt beeinflussen. Beispielsweise verändert die (Neu-)Definition von Schriften den Inhalt nicht direkt; selbst-definierte Schriften erlauben es aber, Zahlen oder Buchstaben beliebig zu vertauschen.

    Die Angriffsvariante „Shadow Attack Hide-and-Replace” versteckt ein zweites, vollständig definiertes PDF-Dokument mit anderem Inhalt in dem sichtbaren Dokument.

    Digitale PDF-Signaturen weit verbreitet

    Seit 2014 die Regulierung zu „Electronic Identification, Authentication and Trust Services“ in Kraft getreten ist, spielen PDF-Signaturen eine wichtige Rolle in der Europäischen Union. Beispielsweise werden Verträge bei EU-Projekten digital signiert, in Österreich trifft das auch auf alle Gesetze zu. Unternehmen wie Amazon nutzen PDF-Signaturen, um ihre Rechnungen zu signieren. Der digitale Signierdienst von Adobe wurde laut Aussagen des Herstellers 2019 acht Milliarden Mal verwendet.


    Contact for scientific information:

    Dr. Vladislav Mladenov
    Lehrstuhl für Netz- und Datensicherheit
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: +49 234 32 26742
    E-Mail: vladislav.mladenov@rub.de

    Dr. Christian Mainka
    Lehrstuhl für Netz- und Datensicherheit
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: +49 234 32 26796
    E-Mail: christian.mainka@rub.de

    Allgemeine Anfragen können auch über die E-Mail-Adresse team@pdf-insecurity.org gestellt werden.

    Weitere Kontaktdaten finden sich auf der Webseite zum Angriff: https://pdf-insecurity.org/other/contact.html


    More information:

    https://news.rub.de/presseinformationen/wissenschaft/2019-02-25-it-sicherheit-bo... Frühere Presseinformation zu Sicherheitslücken in PDF-Signaturen


    Images

    Criteria of this press release:
    Journalists
    Information technology
    transregional, national
    Research results
    German


     

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).