Manipulation möglich

Zertifizierte PDF-Verträge weisen Sicherheitslücken auf

Uhr
von Eric Belot und jor

Dokument-Zertifikate sollen PDF-Verträge absichern. Doch ein Forscherteam der Ruhr-Universität Bochum fand nun heraus, dass sich solche PDF-Verträge nachträglich manipulieren lassen.

Forschende aus Bochum stellen Tools zur Verfügung, damit Kunden ihre Anwendungen auf Sicherheit prüfen können. (Source: Cytonn Photography/Unsplash)
Forschende aus Bochum stellen Tools zur Verfügung, damit Kunden ihre Anwendungen auf Sicherheit prüfen können. (Source: Cytonn Photography/Unsplash)

Forschende der Ruhr-Universität Bochum haben festgestellt, dass sich unterschriebene PDF-Verträge leicht modifizieren lassen. Wissenschaftler am Lehrstuhl für Netz- und Datensicherheit untersuchten das PDF-Format auf Schwachstellen - und entdeckten zwei mögliche Angriffsszenarien, über die sich PDF-Dokumente nachträglich manipulieren lassen, wie "Heise.de" berichtet.

Betroffen sind laut dem Forscherteam 24 PDF-Anwendungen, darunter Acrobat und Foxit Reader. Problematisch sei zum einen, dass der Dokumentenstandard PDF 2.0 zu viel Spielraum lasse. Zum anderen bemängeln die Experten die Sicherheitsmechanismen.

Die Schwachstellen betreffen die Dokument-Zertifikate. Damit bescheinigen die Urheber eines Vertrages die Integrität des PDFs und gewähren den weiteren Partien eingeschränkte Bearbeitungsrechte, wie das Signieren und Ausfüllen von Formularfeldern oder das Hinzufügen von Anmerkungen. Mit solchen erlaubten Veränderungen bleibt das Zertifikat gültig. Versucht jemand jedoch, den Inhalt zu ändern, erkennt die PDF-Software diesen Manipulationsversuch und blendet eine Warnung ein. Diese macht das Zertifikat ungültig.

Die Forschenden haben Wege gefunden, erlaubte Änderungen an Signaturfeldern und Textfeldern so durchzuführen und zu tarnen, dass sie von echten Dokument-Inhalten nicht unterscheidbar sind. Besonders geeignet sind für solche Manipulationen seien die Textfeld- und die Redigieren-Funktionen, schreibt "Heise" weiter.

Hersteller kontaktiert

Solche Manipulationen könnten weniger versierten Nutzerinnen und Nutzern verborgen bleiben, denn die gängigen PDF-Anwendung weisen weder auf vorhandene Kommentare noch auf die Kommentarleiste hin. Ausserdem lasse sich der PDF-Code so verändern, dass die zweckentfremdeten Kommentare nicht mehr in der dafür vorgesehenen Leiste erscheinen. Auch die zum Unterschreiben gedachten PDF-Signaturfelder könnten für Angriffe verwendet werden.

Die Forschenden hätten die Hersteller diesbezüglich kontaktiert. Adobe, Foxit und die Stiftung "The Document Foundation" (Libre Office) haben gemäss "Heise" rasch reagiert und ihre Applikationen nachgebessert.

Die Forschenden präsentierten ihre Ergebnisse an der IT-Security-Konferenz IEEE Symposioum für Security und Privacy. Die Testdokumente sowie die Studie stehen auf pdf-insecurity.org unter "Attacks on PDF Certification (May 2021)" zum Download bereit. Die Forschenden stellen dort auch Tools zur Verfügung, mit denen Nutzerinnen und Nutzer ihre Dokument-Zertfikate auf diese Sicherheitslücken prüfen können.

Die Eidgenössische Finanzkontrolle (EFK) hat übrigens kürzlich ihren Jahresbericht 2020 veröffentlicht und darin mehrere Cyberrisiken in kritischen Infrastrukturen identifiziert. Betroffen seien unter anderem das Interbank-Zahlungssystem sowie die Gebäudesteuerung der Bundesverwaltung.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Tags
Webcode
DPF8_218081