PDF: Prüfe diesen Fake! Nicht jeder PDF-Viewer kontrolliert Signaturen

PDF (Portable Document Format), das 1993 von Adobe entwickelte Dateiformat. Viele User schätzen es und verwenden es beinahe täglich. Auch Behörden und Ämter arbeiten mit PDF-Dokumenten. Sie verlassen sich dabei auf die Korrektheit von Inhalt und Signatur. Du bist bisher davon ausgegangen, dass du mit PDF immer auf der sicheren Seite bist? Wenn dir dein PDF-Viewer ein Dokument mit Signatur anzeigt, ist es auf jeden Fall korrekt? Die Sicherheitsforscher Vladislav Mladenov und Christian Mainka haben gezeigt, dass dies leider nicht immer der Fall ist. Der Inhalt kann manipuliert werden. Dein PDF-Viewer erkennt den Fake nicht und du vielleicht auch nicht.

Die Experten haben ausgiebig geforscht. Es wurden 22 gängige Desktop-Applikationen für Windows, Linux und MacOS untersucht.  Auch sieben Online-Services wurden analysiert. Welcher Exploit dahinter steht, wurde von den Forschern demonstriert.

Eine Billion Dollar

Der Inhalt eines digital unterschriebenen PDFs kann verändert werden. Trotzdem bleibt die Signatur gültig. Der Empfänger verlässt sich auf den Validierungsprozess. Die PDF-Viewer leisten jedoch nur halbe Arbeit. Einfach gesagt: Wenn es um die Sicherheit geht, drücken sie eben gerne ein Auge zu. Die Forscher der Ruhr-Universität Bochum und der Hackmanit GmbH haben ein Dokument von Amazon drastisch verändert. Eine Rückerstattungssumme von einer Billion Dollar galt theoretisch als korrekt unterschrieben und genehmigt. Es war also ganz einfach möglich den Inhalt zu verändern. Klar! Bei einer Summe von einer Billion Dollar wäre von Empfängerseite wohl ohnehin eine eingehende Prüfung notwendig. Das gilt für alle Rechnungen.

Warum ist eine derartige Manipulation möglich?

Die schweren Sicherheitslücken bei PDF-Signaturen haben großes Missbrauchspotenzial. Digitale Signaturen sollen gewährleisten, dass das Dokument vom Absender stammt und nicht verändert worden ist. Darauf solltest du dich nicht verlassen. Warum kann der Inhalt derartig manipuliert werden? Die Incremental Saving Attack (ISA) ermöglicht es beispielsweise, dass Inhalte über Hinzufügen von weiteren Inhalten oder Ausblenden anderer Inhalte, so verändert werden, dass ein ganz neues Dokument entsteht.

Sie erkennen den Fake nicht

Zahlreiche Anwendungen erkennen die Manipulation nicht. Die Signatur bleibt gültig. Ein weiteres Spektrum an Angriffsmöglichkeiten wurde durch Universal Signature-Forgery erzielt. In erster Linie sind PDF-Viewer wohl zu inkonsequent im Umgang mit ungültigen Dateien. Zweitens gibt es große Probleme und Schwierigkeiten bei der Validierung von Signaturen.

Welche Anwendungen sind betroffen?

Die IT-Experten haben alle betroffenen Anwendungen aufgelistet und sind seit Oktober 2018 damit beschäftigt die involvierten Software-Hersteller zu informieren.

Fazit

Das Denken kann uns leider niemand abnehmen. Auch wenn du ein PDF mit Signatur vor dir siehst, solltest du dich fragen, ob der Inhalt korrekt ist. Wir überschätzen den Wert von digitalen Signaturen. Geh einfach immer davon aus, dass du es mit einem Fake zu tun haben könntest. Alles ist manipulierbar. Auf jeden Fall solltest du deine PDF-Viewer-Version auf dem neuesten Stand halten und updaten. Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com

Zusammenfassung
Artikel Name
PDF: Prüfe diesen Fake! Nicht jeder PDF-Viewer kontrolliert Signaturen
Beschreibung
PDF (Portable Document Format), das 1993 von Adobe entwickelte Dateiformat, wird von vielen Usern geschätzt und beinahe täglich verwendet. Auch Behörden und Ämter arbeiten mit PDF-Dokumenten und verlassen sich dabei auf die Korrektheit von Inhalt und Signatur. Du bist bisher davon ausgegangen, dass du mit PDF immer auf der sicheren Seite bist? Wenn dir dein PDF-Viewer ein Dokument mit Signatur anzeigt, ist es auf jeden Fall korrekt? Die Sicherheitsforscher Vladislav Mladenov und Christian Mainka haben gezeigt, dass dies leider nicht immer der Fall ist. Der Inhalt kann manipuliert werden und der Fake wird weder von deinem Viewer noch von dir erkannt.
Author
Veröffentlicher
vpn-blog.de
Logo

Schreibe einen Kommentar

Weitere Artikel

/ Anwendungen
Das offizielle Wireguard VPN für MacOS ist da

Das offizielle Wireguard VPN für MacOS ist da

Apple-Fans dürfen sich freuen, denn die frei verfügbare VPN-Software Wireguard ist nun endlich für ihren Desktop verfügbar. Die bewährte iOS-App lieferte die Vorlage für den Code. Die Integration in den App Store stellte die Entwickler allerdings vor große Herausforderungen. Das VPN-Protokoll macht anonymes Surfen komfortabel Das Erscheinen der Wireguard App im Mac App Store war eine tolle Überraschung und bringt einige Vorteile mit sich. Da es sich nicht um einen VPN-Service, sondern ein VPN-Protokoll handelt, surfst du damit schneller, sicherer ...
Weiterlesen …
/ Allgemein
Flying high mit Fluggastdatenverarbeitung: Pass auf, dass dir deine Daten nicht davonfliegen!

Flying high mit Fluggastdatenverarbeitung: Pass auf, dass dir deine Daten nicht davonfliegen!

Während du schon an deinen Urlaub, an das Meer und den traumhaften Palmenstrand denkst, werden deine Daten erst einmal ordentlich gescannt. Keine Panik! Das ist ganz normal. So verlangt es eine EU-Richtlinie. Bereits 48 Stunden vor dem Start oder der Landung  müssen Fluggastdaten gecheckt werden. Das heißt, dass die Daten an die zuständige nationale Sicherheitsbehörde übermittelt werden müssen. Es gibt diesbezüglich ein „Bundesgesetz über die Verarbeitung von Fluggastdaten zur Vorbeugung, Verhinderung und Aufklärung von terroristischen und bestimmten anderen Straftaten.“ Geprüft ...
Weiterlesen …
/ Allgemein
Eilmeldung: Wikipedia geht offline! Das Ende des freien Internets durch Uploadfilter?

Eilmeldung: Wikipedia geht offline! Das Ende des freien Internets durch Uploadfilter?

#Saveyourinternet und #Uploadfilter: Demonstranten gehen am 23.März auf die Straße, um das freie Internet zu retten. Nun bekommen sie starke Unterstützung. Wikipedia hat die Nase gestrichen voll von der Aussicht auf Zensur und Beschneidung der Meinungsfreiheit und zieht den Stecker. Du wirst mir fehlen. Danke, Wikipedia! R.I.P., du warst die größte Enzyklopädie in Deutschland. Ich bin zutiefst betroffen über dein Ende und werde dich fürchterlich vermissen. Immer hast du mir dein unabhängiges Wissen zur Verfügung gestellt. Niemals hast du die ...
Weiterlesen …
/ Überwachung
VPN werden kriminalisiert – Aber nicht überall

VPN werden kriminalisiert – Aber nicht überall

Nicht überall ist es gern gesehen, wenn VPNs genutzt werden. Es gibt Länder, die verbieten wollen, die eigene Identität im Netz zu verschleiern. Das Schlechtmachen und gar Verbieten einer ganz normalen Angelegenheit ist mancherorts an der Tagesordnung. Wo sind VPNs erlaubt, wo verboten? Anonymität verbieten – Macht das Sinn? Ist es kriminell, ein wenig Privatsphäre genießen zu wollen? Genauso könnte man fragen, ob es illegal sei, die Badezimmertür hinter sich zu schließen. Oder ob man seinem Hintermann am Geldautomaten Unrecht ...
Weiterlesen …
Wird geladen...