PDF-Sicherheitslücke ermöglicht Manipulation bereits unterschriebener Verträge

Mithilfe von zertifizierten Signaturen können PDFs von zwei Vertragspartnern digital unterschrieben werden. Nach der ersten Signatur sollten allerdings theoretisch keine inhaltlichen Änderungen mehr vorgenommen werden können. Forscher des Bochumer Horst-Görtz-Institut für IT-Sicherheit haben jetzt jedoch zwei Angriffsmethoden entwickelt, mit denen genau das möglich sein soll.
Ebenfalls interessant: UX-Papst Nielsen: PDFs bleiben ein Usability-GAU
Eigentlich kann die Partei, die eine PDF mit zertifizierter Signatur ausstellt und als erstes signiert, festlegen, welche Änderungen der Vertragspartner danach noch vornehmen kann. Gedacht ist das Ganze dafür, damit der Vertragspartner beispielsweise noch einzelne Felder ausfüllt, Kommentare oder eben auch die eigene Signatur hinzufügt. Den Wissenschaftlern gelang es allerdings, auch den Inhalt zu verändern, ohne die Zertifizierung damit ungültig zu machen.
„Die Angriffsidee nutzt die Flexibilität der PDF-Zertifizierung aus, die es erlaubt, zertifizierte Dokumente unter verschiedenen Berechtigungsstufen zu signieren oder mit Anmerkungen zu versehen. Unsere praktische Auswertung zeigt, dass ein Angreifer den sichtbaren Inhalt in 15 von 26 Viewer-Anwendungen verändern konnte“, schreiben die Forscher, die ihre Untersuchung jetzt im Rahmen des IEEE Symposium on Security and Privacy öffentlich vorgestellt haben.
Forscher nutzen Lücke in PDF-Spezifikationen und Fehler in der Implementation aus
Konkret nutzten die Wissenschaftler die Möglichkeit aus, Signaturelemente über den eigentlichen Dokumententext zu legen, um so dessen Inhalt zu ändern. Das potenzielle Opfer könnte diese Änderung allerdings bemerken, da die Signaturangaben beim Öffnen des Dokuments angezeigt werden. Über einen zweiten Trick konnten die Forscher diese Signaturinformationen jedoch verbergen, und die Manipulation so weiter tarnen.
Während ihrer Arbeit stießen die Forscher außerdem auf eine Sicherheitslücke in den PDF-Programmen von Adobe. Über die könnten Angreifer potenziell schadhaften JavaScript-Code ausführen. Diese Sicherheitslücke hat Adobe nach Kontaktaufnahme durch die Forscher allerdings geschlossen. Außerdem arbeiten die Forscher mit dem Deutschen Institut für Normung (DIN) und der International Organization for Standardization (ISO) zusammen, damit der von ihnen beschriebene Angriff ab der nächsten Version der PDF-Spezifikationen nicht mehr durchgeführt werden kann.