PDF-Dateien mit Signatur: Kann man knicken

Digital signierte PDF-Dateien sollen eigentlich dem Leser signalisieren, dass diese unmodifiziert vom Ersteller vorliegen. Sicherheitsforscher aus Bochum haben jetzt aber gezeigt, dass man praktisch allen PDF-Readern gefälschte Dokumente unterjubeln kann.


Anzeige

Wer Dokumente wie Rechnungen etc. von Firmen wie Telekom, Amazon etc. bekommt, muss sich darauf verlassen, dass diese unmodifiziert sind. Dazu können PDF-Dateien mit einer digitalen Signatur versehen werden, die eigentlich sicherstellen soll, dass das Dokument nach der Signierung nicht nochmals verändert wird.


(Quelle: Uni Bochum)

Wissenschaftler der Ruhr-Universität Bochum haben sich jetzt die gängigen PDF-Reader vorgenommen und untersucht, wie robust diese gegen manipulierte PDF-Dateien mit Signatur sind. Das Ergebnis: Fast allen Readern lassen sich manipulierte PDF-Dateien mit Signatur unterjubeln, ohne dass die Programme dies merken.

Die Ergebnisse werden in diesem Dokument (Englisch) dargestellt. Die Forscher schreiben: Im Rahmen unserer Forschung haben wir am 9. Oktober 2018 ein Verfahren zur verantwortungsvollen Offenlegung eingeleitet, nachdem wir 21 von 22 Desktop-Viewer-Anwendungen und 5 von 7 Online-Validierungsdiensten identifiziert hatten, die gegen mindestens einen unserer Angriffe anfällig sind.

In Zusammenarbeit mit dem BSI-CERT haben wir alle Lieferanten kontaktiert, Proof-of-Concept-Exploits erstellt und ihnen geholfen, die Probleme zu beheben. Die Forscher haben eine Liste der betroffenen Programme veröffentlicht. Sie können sich ansehen, welchen PDF-Reader Sie verwenden und die Versionen vergleichen.

  1. Desktop Viewer Applications
  2. Online Validation Services

Wenn Sie eine unserer analysierten Desktop Viewer Anwendungen verwenden, sollten Sie bereits ein Update für Ihren Reader erhalten haben. Ein deutschsprachiger Artikel findet sich auf SPON. Ergänzung: heise.de hat diesen Artikel zum Thema.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit PDF, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu PDF-Dateien mit Signatur: Kann man knicken

  1. Roland Moser sagt:

    "…die eigentlich sicherstellen soll, dass das Dokument nach der Signierung nochmals verändert wird…"
    Fehlt da nicht ein "nicht"?

  2. Dekre sagt:

    ist mir auch schon aufgefallen, totaler Schnulli mit der digitalen Signatur.

    Dass es jetzt ein oder sogar mehrere Sicherheitsforscher herausbekommen hat/ haben, ist ja auch wieder komisch. Wie lange hat er oder haben die denn geforscht? Sicherlich seit Geburt an.

Schreibe einen Kommentar zu Roland Moser Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.