PDF: Prüfe diesen Fake! Nicht jeder PDF-Viewer kontrolliert Signaturen

PDF (Portable Document Format), das 1993 von Adobe entwickelte Dateiformat. Viele User schätzen es und verwenden es beinahe täglich. Auch Behörden und Ämter arbeiten mit PDF-Dokumenten. Sie verlassen sich dabei auf die Korrektheit von Inhalt und Signatur. Du bist bisher davon ausgegangen, dass du mit PDF immer auf der sicheren Seite bist? Wenn dir dein PDF-Viewer ein Dokument mit Signatur anzeigt, ist es auf jeden Fall korrekt? Die Sicherheitsforscher Vladislav Mladenov und Christian Mainka haben gezeigt, dass dies leider nicht immer der Fall ist. Der Inhalt kann manipuliert werden. Dein PDF-Viewer erkennt den Fake nicht und du vielleicht auch nicht.

Die Experten haben ausgiebig geforscht. Es wurden 22 gängige Desktop-Applikationen für Windows, Linux und MacOS untersucht.  Auch sieben Online-Services wurden analysiert. Welcher Exploit dahinter steht, wurde von den Forschern demonstriert.

Eine Billion Dollar

Der Inhalt eines digital unterschriebenen PDFs kann verändert werden. Trotzdem bleibt die Signatur gültig. Der Empfänger verlässt sich auf den Validierungsprozess. Die PDF-Viewer leisten jedoch nur halbe Arbeit. Einfach gesagt: Wenn es um die Sicherheit geht, drücken sie eben gerne ein Auge zu. Die Forscher der Ruhr-Universität Bochum und der Hackmanit GmbH haben ein Dokument von Amazon drastisch verändert. Eine Rückerstattungssumme von einer Billion Dollar galt theoretisch als korrekt unterschrieben und genehmigt. Es war also ganz einfach möglich den Inhalt zu verändern. Klar! Bei einer Summe von einer Billion Dollar wäre von Empfängerseite wohl ohnehin eine eingehende Prüfung notwendig. Das gilt für alle Rechnungen.

Warum ist eine derartige Manipulation möglich?

Die schweren Sicherheitslücken bei PDF-Signaturen haben großes Missbrauchspotenzial. Digitale Signaturen sollen gewährleisten, dass das Dokument vom Absender stammt und nicht verändert worden ist. Darauf solltest du dich nicht verlassen. Warum kann der Inhalt derartig manipuliert werden? Die Incremental Saving Attack (ISA) ermöglicht es beispielsweise, dass Inhalte über Hinzufügen von weiteren Inhalten oder Ausblenden anderer Inhalte, so verändert werden, dass ein ganz neues Dokument entsteht.

Sie erkennen den Fake nicht

Zahlreiche Anwendungen erkennen die Manipulation nicht. Die Signatur bleibt gültig. Ein weiteres Spektrum an Angriffsmöglichkeiten wurde durch Universal Signature-Forgery erzielt. In erster Linie sind PDF-Viewer wohl zu inkonsequent im Umgang mit ungültigen Dateien. Zweitens gibt es große Probleme und Schwierigkeiten bei der Validierung von Signaturen.

Welche Anwendungen sind betroffen?

Die IT-Experten haben alle betroffenen Anwendungen aufgelistet und sind seit Oktober 2018 damit beschäftigt die involvierten Software-Hersteller zu informieren.

Fazit

Das Denken kann uns leider niemand abnehmen. Auch wenn du ein PDF mit Signatur vor dir siehst, solltest du dich fragen, ob der Inhalt korrekt ist. Wir überschätzen den Wert von digitalen Signaturen. Geh einfach immer davon aus, dass du es mit einem Fake zu tun haben könntest. Alles ist manipulierbar. Auf jeden Fall solltest du deine PDF-Viewer-Version auf dem neuesten Stand halten und updaten. Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com

Zusammenfassung
PDF: Prüfe diesen Fake! Nicht jeder PDF-Viewer kontrolliert Signaturen
Artikel Name
PDF: Prüfe diesen Fake! Nicht jeder PDF-Viewer kontrolliert Signaturen
Beschreibung
PDF (Portable Document Format), das 1993 von Adobe entwickelte Dateiformat, wird von vielen Usern geschätzt und beinahe täglich verwendet. Auch Behörden und Ämter arbeiten mit PDF-Dokumenten und verlassen sich dabei auf die Korrektheit von Inhalt und Signatur. Du bist bisher davon ausgegangen, dass du mit PDF immer auf der sicheren Seite bist? Wenn dir dein PDF-Viewer ein Dokument mit Signatur anzeigt, ist es auf jeden Fall korrekt? Die Sicherheitsforscher Vladislav Mladenov und Christian Mainka haben gezeigt, dass dies leider nicht immer der Fall ist. Der Inhalt kann manipuliert werden und der Fake wird weder von deinem Viewer noch von dir erkannt.
Author
Veröffentlicher
vpn-blog.de
Logo

Schreibe einen Kommentar

Weitere Artikel

/ Politik
DDoS-Angriffe und verschwundene Wahlkarten: Hatten Hacker die Landeshauptstadt Wien im Visier?

DDoS-Angriffe und verschwundene Wahlkarten: Hatten Hacker die Landeshauptstadt Wien im Visier?

Immer dieses Dilemma mit den Wahlkarten. Größtmögliche und ortsunabhängige Flexibilität bei der Stimmabgabe. So die Anforderung und die Daseinsberechtigung von Wahlkarten. Die Österreicher haben das anscheinend nicht drauf. Oder soll es einfach nicht sein? Jedenfalls haben Wiener Bürger diese über die neue Amts-App angefordert. Angekommen sind sie allerdings nicht. Wie sich nach weiteren Nachforschungen herausstellte, lag das Problem wohl beim Bundesrechenzentrum. Genauer gesagt beim Server. Was war da los? Hatten Hacker die Finger im Spiel oder hat ganz einfach die ...
Weiterlesen …
/ Allgemein
Google Maps nützen und inkognito bleiben? Ein neuer alter Modus macht es möglich!

Google Maps nützen und inkognito bleiben? Ein neuer alter Modus macht es möglich!

Google ist äußerst praktisch und beliebt. Allein um die Privatsphäre und den Datenschutz hat dieser Internetkonzern viel zu oft einen dezenten Bogen gemacht. Nun soll alles anders werden. Userfreundliche Privatsphäre-Einstellungen und ein brandneuer Inkognito-Modus bei Google-Maps, der im Grunde eine Erweiterung anderer bereits bestehender Inkognito-Varianten ist, lassen aufhorchen. Es war der große Aufhänger auf der Entwicklerkonferenz I/0 2019. Es gab noch eine Menge andere interessante Ankündigungen, die den neu erwachten Datenschutz-Fokus zart umspielen. Wie sieht die neue erweiterte Privatsphäre bei ...
Weiterlesen …
/ Überwachung
5 praktische Tipps, die dir aus der NSA-Überwachungsfalle helfen

5 praktische Tipps, die dir aus der NSA-Überwachungsfalle helfen

Die globale Vernetzung hat einen hohen Preis. Du checkst gerade deine Nachrichten auf Facebook oder teilst etwas auf Instagram. Natürlich nützt du auch Google und Skype. Es ist aber auch wirklich alles so praktisch. Ganz egal, welche Seite du jetzt gerade, morgen oder übermorgen nützt, eine Sache solltest du stets im Kopf behalten. Die Spione sind immer dabei. Nein! Das ist jetzt keine Verschwörungstheorie. Das sind knallharte Fakten. Das Wort Überwachung wird heutzutage oft in einem Atemzug mit der NSA ...
Weiterlesen …
/ Allgemein
Blackout! Cyber-Bedrohung durch smarte Haushaltsgeräte: Schweizer Experten warnen vor dem Totalausfall

Blackout! Cyber-Bedrohung durch smarte Haushaltsgeräte: Schweizer Experten warnen vor dem Totalausfall

Das Internet der Dinge (Iot) sorgt wieder einmal für Aufregung. Experten zufolge könnten einige Haushaltsgeräte der Auslöser dafür sein, dass es zu einem totalen Zusammenbruch kommt.  Selbstverständlich handelt es sich dabei nicht um ganz normale Geräte aus Omas Zeiten, sondern um wahre Alleskönner. Smart und mit dem Internet verbunden. So klug sind die smarten Teile allerdings oftmals gar nicht. Zumindest nicht was den Schutz angeht. Der lässt nämlich immer wieder einmal zu wünschen übrig und so könnte es leicht passieren, ...
Weiterlesen …
Wird geladen...