Forscher knacken digitale Signaturen der meisten Desktop-PDF-Viewer

Ein Team von Forschern der Ruhr-Universität Bochum hat Schwachstellen in häufig genutzten PDF-Anwendungen gefunden, die es erlauben, digitale Signaturen von Dokumenten zu fälschen. Betroffen sind 21 von 22 überprüften Desktop-Apps. Die Fehler treten zudem bei sechs von acht geprüften Online-Diensten für die digitale Signierung von PDF-Dateien auf.

Unter anderem sind Adobes Acrobat Reader, Foxit Reader und der in LibreOffice integrierte PDF-Viewer angreifbar. Zu den unsicheren Online-Diensten gehören DocuSign und Evotrust. Die jeweiligen Anbieter wurden seit Anfang Oktober von den fünf Forschern sowie Experten des Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik informiert.

Mit ihren Erkenntnissen gingen die Forscher erst jetzt an die Öffentlichkeit, um den betroffenen Anbietern die Möglichkeit zu geben, ihre Anwendungen und Dienste vorab zu patchen. Diesen Schritt begründeten sie mit der Bedeutung digital signierter PDF-Dateien. Sie werden unter anderem für rechtlich verbindliche Vereinbarungen, Anträge bei Gerichten und Behörden oder zur Genehmigung von finanziellen Transaktionen benutzt.

In seinem Forschungsbericht beschreibt das Team um Vladislav Mladenov insgesamt drei Angriffe beziehungsweise Sicherheitslücken. Sie führen dazu, dass sich der Inhalt von bereits signierten Dokumenten beliebig ändern lässt, ohne dass die Signatur ihre Gültigkeit verliert. „Wir können also ein von invoicing@amazon.de signiertes Dokument erstellen, das uns eine Billion Dollar erstattet“, schreiben die Forscher auf ihrer Website.

Beim ersten Angriff, Universal Signature Forgery (USF) genannt, kann ein Angreifer das Prüfverfahren für die digitale Signatur täuschen und dazu bringen, dass eine App die Gültigkeit einer veränderten oder ungültigen Signatur bestätigt. Beim Incremental Saving Attack (ISA) wird einem signierten Dokument weiterer Inhalt hinzugefügt – ohne die vorhandene Signatur zu schwächen. Der Signature-Wrapping-Angriff wiederum täuscht die Signaturprüfung, sodass diese den hinzugefügten Inhalt umgeht und somit die Aktualisierung des Dokuments digital signiert.

„Fall Sie eine der von uns analysierten Desktop-Viewer verwenden, sollten Sie bereits ein Update erhalten haben“, erklärten die Forscher. Andernfalls raten die Forscher, ein manuelles Update auszuführen, um zu verhindern, dass ihnen manipulierte signierte PDF-Dateien untergeschoben werden. „Derzeit sind uns keine Exploits bekannt, die unsere Angriffe nutzen.“