Viele PDF-Viewer beglaubigen Fake-Amazon-Erstattung über eine Billion US-Dollar

Sicherheitsforscher demonstrieren, wie sie digital unterschriebene PDFs verändern und die Signatur trotzdem gültig bleibt.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
Viele PDF-Viewer beglaubigen Fake-Amazon-Erstattung über 1 Trillion US-Dollar

(Bild: edar)

Lesezeit: 2 Min.

Angreifer könnten signierte PDF-Dokumente manipulieren und viele PDF-Viewer würden die Signatur immer noch als valide anzeigen. Davon sind PDF-Anwendungen wie Adobe Reader und Foxit Reader unter Linux, macOS und Windows betroffen.

Das haben Sicherheitsforscher der Ruhr Universität Bochum und Hackmanit GmbH herausgefunden und beschreiben das Sicherheitsproblem auf einer Website. Dort listen sie auch die betroffenen PDF-Anwendungen und Online-Validierungsservices auf. Eigenen Angaben zufolge haben sie betroffene Software-Hersteller bereits im Oktober 2018 in Kenntnis gesetzt, sodass schon länger fehlerbereinigte Versionen verfügbar sind.

In einem Beispiel haben sie ein von Amazon versendetes und signiertes PDF-Dokument dahingehend verändert, dass die Rückerstattung 1.000.000.000.000 US-Dollar beträgt. Trotz Manipulation zeigt der PDF-Viewer fälschlicherweise an, dass die digitale Unterschrift gültig ist und somit sichergestellt sei, dass das Dokument nicht verändert wurde.

Die Signatur der manipulierten Amazon-Rückerstattung wird als gültig angezeigt.

(Bild: PDF Insecurity )

Die Forscher haben drei verschiedene Angriffstechniken erarbeitet, mit denen es ihnen gelang, den angezeigten Inhalt zu modifizieren und trotzdem die Versicherung zu erhalten, dass der Inhalt unverändert sei. Sie missbrauchten dabei PDF-Features wie inkrementelles Speichern, mit dem sich ein Dokument etwa mit zusätzlichen Anmerkungen versehen lässt.

Die Forscher beschreiben die Details zu Universal Signature Forgery (USF), Incremental Saving Attack (ISA) und dem Signature Wrapping (SWA) auf einer eigenen Seite. Das Grundprinzip der Angriffe beruht zumeist darauf, PDF-Code zu erzeugen, der eigentlich ungültig ist, weil er nicht der Spezifikation entspricht. Die Anwendungen sind fehlertolerant und zeigen den Inhalt trotzdem an – übersehen aber in bestimmten Szenarien, dass dabei auch die Signatur hinfällig wurde.

Als Ursache der Fehler sehen die Forscher zwei Probleme: Zum einen sei die PDF-Spezifikation in Bezug auf Signaturen und insbesondere deren Validierung sehr vage. Zum Anderen seien die analysierten PDF-Viewer sehr tolerant, was den Umgang mit eigentlich ungültigen PDF-Dateien anginge. (des)