Digital signierte PDF-Dateien sollen eigentlich dem Leser signalisieren, dass diese unmodifiziert vom Ersteller vorliegen. Sicherheitsforscher aus Bochum haben jetzt aber gezeigt, dass man praktisch allen PDF-Readern gefälschte Dokumente unterjubeln kann.
Wer Dokumente wie Rechnungen etc. von Firmen wie Telekom, Amazon etc. bekommt, muss sich darauf verlassen, dass diese unmodifiziert sind. Dazu können PDF-Dateien mit einer digitalen Signatur versehen werden, die eigentlich sicherstellen soll, dass das Dokument nach der Signierung nicht nochmals verändert wird.
(Quelle: Uni Bochum)
Wissenschaftler der Ruhr-Universität Bochum haben sich jetzt die gängigen PDF-Reader vorgenommen und untersucht, wie robust diese gegen manipulierte PDF-Dateien mit Signatur sind. Das Ergebnis: Fast allen Readern lassen sich manipulierte PDF-Dateien mit Signatur unterjubeln, ohne dass die Programme dies merken.
Die Ergebnisse werden in diesem Dokument (Englisch) dargestellt. Die Forscher schreiben: Im Rahmen unserer Forschung haben wir am 9. Oktober 2018 ein Verfahren zur verantwortungsvollen Offenlegung eingeleitet, nachdem wir 21 von 22 Desktop-Viewer-Anwendungen und 5 von 7 Online-Validierungsdiensten identifiziert hatten, die gegen mindestens einen unserer Angriffe anfällig sind.
In Zusammenarbeit mit dem BSI-CERT haben wir alle Lieferanten kontaktiert, Proof-of-Concept-Exploits erstellt und ihnen geholfen, die Probleme zu beheben. Die Forscher haben eine Liste der betroffenen Programme veröffentlicht. Sie können sich ansehen, welchen PDF-Reader Sie verwenden und die Versionen vergleichen.
Wenn Sie eine unserer analysierten Desktop Viewer Anwendungen verwenden, sollten Sie bereits ein Update für Ihren Reader erhalten haben. Ein deutschsprachiger Artikel findet sich auf SPON. Ergänzung: heise.de hat diesen Artikel zum Thema.
„…die eigentlich sicherstellen soll, dass das Dokument nach der Signierung nochmals verändert wird…“
Fehlt da nicht ein „nicht“?
Ja, kann z.Z. aber nix korrigieren.
ist mir auch schon aufgefallen, totaler Schnulli mit der digitalen Signatur.
Dass es jetzt ein oder sogar mehrere Sicherheitsforscher herausbekommen hat/ haben, ist ja auch wieder komisch. Wie lange hat er oder haben die denn geforscht? Sicherlich seit Geburt an.