PDF: Prüfe diesen Fake! Nicht jeder PDF-Viewer kontrolliert Signaturen

PDF (Portable Document Format), das 1993 von Adobe entwickelte Dateiformat. Viele User schätzen es und verwenden es beinahe täglich. Auch Behörden und Ämter arbeiten mit PDF-Dokumenten. Sie verlassen sich dabei auf die Korrektheit von Inhalt und Signatur. Du bist bisher davon ausgegangen, dass du mit PDF immer auf der sicheren Seite bist? Wenn dir dein PDF-Viewer ein Dokument mit Signatur anzeigt, ist es auf jeden Fall korrekt? Die Sicherheitsforscher Vladislav Mladenov und Christian Mainka haben gezeigt, dass dies leider nicht immer der Fall ist. Der Inhalt kann manipuliert werden. Dein PDF-Viewer erkennt den Fake nicht und du vielleicht auch nicht.

Die Experten haben ausgiebig geforscht. Es wurden 22 gängige Desktop-Applikationen für Windows, Linux und MacOS untersucht.  Auch sieben Online-Services wurden analysiert. Welcher Exploit dahinter steht, wurde von den Forschern demonstriert.

Eine Billion Dollar

Der Inhalt eines digital unterschriebenen PDFs kann verändert werden. Trotzdem bleibt die Signatur gültig. Der Empfänger verlässt sich auf den Validierungsprozess. Die PDF-Viewer leisten jedoch nur halbe Arbeit. Einfach gesagt: Wenn es um die Sicherheit geht, drücken sie eben gerne ein Auge zu. Die Forscher der Ruhr-Universität Bochum und der Hackmanit GmbH haben ein Dokument von Amazon drastisch verändert. Eine Rückerstattungssumme von einer Billion Dollar galt theoretisch als korrekt unterschrieben und genehmigt. Es war also ganz einfach möglich den Inhalt zu verändern. Klar! Bei einer Summe von einer Billion Dollar wäre von Empfängerseite wohl ohnehin eine eingehende Prüfung notwendig. Das gilt für alle Rechnungen.

Warum ist eine derartige Manipulation möglich?

Die schweren Sicherheitslücken bei PDF-Signaturen haben großes Missbrauchspotenzial. Digitale Signaturen sollen gewährleisten, dass das Dokument vom Absender stammt und nicht verändert worden ist. Darauf solltest du dich nicht verlassen. Warum kann der Inhalt derartig manipuliert werden? Die Incremental Saving Attack (ISA) ermöglicht es beispielsweise, dass Inhalte über Hinzufügen von weiteren Inhalten oder Ausblenden anderer Inhalte, so verändert werden, dass ein ganz neues Dokument entsteht.

Sie erkennen den Fake nicht

Zahlreiche Anwendungen erkennen die Manipulation nicht. Die Signatur bleibt gültig. Ein weiteres Spektrum an Angriffsmöglichkeiten wurde durch Universal Signature-Forgery erzielt. In erster Linie sind PDF-Viewer wohl zu inkonsequent im Umgang mit ungültigen Dateien. Zweitens gibt es große Probleme und Schwierigkeiten bei der Validierung von Signaturen.

Welche Anwendungen sind betroffen?

Die IT-Experten haben alle betroffenen Anwendungen aufgelistet und sind seit Oktober 2018 damit beschäftigt die involvierten Software-Hersteller zu informieren.

Fazit

Das Denken kann uns leider niemand abnehmen. Auch wenn du ein PDF mit Signatur vor dir siehst, solltest du dich fragen, ob der Inhalt korrekt ist. Wir überschätzen den Wert von digitalen Signaturen. Geh einfach immer davon aus, dass du es mit einem Fake zu tun haben könntest. Alles ist manipulierbar. Auf jeden Fall solltest du deine PDF-Viewer-Version auf dem neuesten Stand halten und updaten. Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com


Erstellt am: 10. März 2019

Schreibe einen Kommentar

Weitere Artikel

Die psychologische Kriegsführung der USA auf Hochtouren – Propaganda im Internet

Die psychologische Kriegsführung der USA auf Hochtouren – Propaganda im Internet

Recherchen der Washington Post haben ergeben, dass das Pentagon eine „umfassende interne Überprüfung“ über seine heimliche Informationskriegsführung durchführte. Grund für die Überprüfung war, dass zuvor eine Vielzahl von Pentagon-„Bots“ in den sozialen Medien aufgedeckt wurde. Von Felix Livschitz Eine investigative Recherche der Washington Post hat ergeben, dass das Pentagon eine „umfassende interne Überprüfung darüber durchführt, wie es seine heimliche Informationskriegsführung betreibt“. Zuvor wurde eine Vielzahl von Social-Media-Konten aufgedeckt, mit denen Auftragsagenten des Pentagon ein ausländisches Publikum in aufwändigen Bemühungen der ...
Weiterlesen …
/ / Allgemein
OutlineVPN – kostenloser VPN und globale Politik treffen einander

OutlineVPN – kostenloser VPN und globale Politik treffen einander

OutlineVPN ist ein Service der von Jigsaw, einem durch Google und die NSA finanziertem Projekt entstammt. Der kostenlose VPN Service bietet eine große Anzahl an verfügbaren Servern aber durch hunderttausende Nutzer auch extrem eingeschränkte Geschwindigkeiten. Man kann den service empfehlen, um gesperrte Inhalte abzurufen, allerdings muss man sich im Klaren darüber sein, dass Streaming oder gar Torrent damit einfach zu langsam sein werden. Wir haben uns die Leistungen des Angebotes genauer angesehen, auch wenn ein Vergleich mit regulären VPN Anbietern ...
Weiterlesen …
Telegram hat sein Versprechen gebrochen und gibt Daten von Nutzern weiter.

Telegram hat sein Versprechen gebrochen und gibt Daten von Nutzern weiter.

Nach eigenen Angaben, hat Telegram Nutzerdaten an deutsche Behörden weitergegeben. Noch Anfang September wurde im vielen Medien spekuliert, ob Telegram mit seiner Nutzerumfrage zur Datenweitergabe, die angeblich gesetzliche Verpflichtung der Datenweitergabe torpedieren wolle. Dann hat sich aber ganz schnell das Blatt gewendet. Inhaltsverzeichnis Telegram selbst räumt ein, Daten weitergegeben zu haben! Der bekannte Nachrichtendienst Telegram, hat wohl sein größtes Nutzerversprechen gebrochen. Denn Telegram hat Nutzerdaten an deutsche Behörden weitergegeben. Es gebe Berichte, so auch Beiträge in anderen Medien (CHIP), wonach ...
Weiterlesen …
UFC Fight Night Streaming: Usman vs. Edwards 2 überall sehen

UFC Fight Night Streaming: Usman vs. Edwards 2 überall sehen

Gute Nachrichten für UFC Fight Nights-Fans: am 20. August steht das nächste UFC-Highlight am Programm! Wir verraten dir, wie du die UFC Fight Night Usman vs. Edwards 2 streamen kannst, egal wo du dich gerade befindest. Inhaltsverzeichnis UFC Fight Night: Usman vs. Edwards 2 LIVE – Überblick Termin: Samstag, 20. August 2022. Die Veranstaltung wird live aus Salt Lake City, Utah, in der Vivint Arena übertragen. Überall streamen mit VPN: Jetzt Surfshark sichern – mit 82% Rabatt! Streaming in den ...
Weiterlesen …
Wird geladen...