Zertifizierte PDF-Verträge anfällig für Manipulationen
Per Dokument-Zertifikat abgesicherte PDF-Verträge lassen sich unter Umständen nachträglich manipulieren, berichten Bochumer Sicherheitsforscher.
Unterschriebene PDF-Verträge lassen sich unter Umständen leicht manipulieren, warnen Sicherheitsforscher der Ruhr-Universität Bochumg (RUB). Am dortigen Lehrstuhl für Netz- und Datensicherheit fahndet man regelmäßig nach Schwachstellen in der Spezifikation des Portable Document Format sowie in den gängigen Viewern. Diesmal haben die Wissenschaflter die Zertifikat-Funktionen auf Herz und Nieren geprüft und zwei Angriffsszenarien entwickelt, über die sich signierte PDF-Dokumente nachträglich manipulieren lassen.
Betroffen waren 24 PDF-Anwendungen, darunter auch Acrobat und Foxit Reader. Die Sicherheitslücke besteht dem Team um Simon Rohlmann zufolge einerseits darin, dass der aktuelle Dokumentenstandard PDF 2.0 in kritischen Punkten zu viel Spielraum lässt. Zum anderen bemängeln die Bochumer Experten die unzulänglichen Sicherheitsmechanismen von Betrachtern und Editoren, die potenziell manipulative Änderungen teils nicht erkennen, schlecht dokumentieren oder technisch weniger versierte Nutzer mit schwer verständlichen Reports überfordern. Unter den kontaktierten Herstellern haben Adobe, Foxit sowie die Stiftung „The Document Foundation“ (Libre Office) rasch reagiert und ihre Anwendungen nachgebessert, berichten die Forscher.
Konkret geht es um Schwachstellen bei den Dokument-Zertifikaten (so genannte zertifizierte Signaturen), mit denen der Urheber eines Vertrags die Integrität eines PDFs bescheinigen und den weiteren Parteien eingeschränkte Bearbeitungsrechte einräumen kann – zum Beispiel das Signieren und Ausfüllen von Formularfeldern sowie das Hinzufügen von Anmerkungen mit Hilfe der Kommentarwerkzeuge. Bei solchen erlaubten Änderungen bleibt das Zertifikat gültig. Versucht eine Partei hingegen, den eigentlichen Inhalt (Text, Bilder oder Grafiken) zu ändern, erkennt die PDF-Software diesen Manipulationsversuch und blendet eine deutliche Warnung ein, dass das Zertifikat ungültig ist. Allerdings haben Rohlmann und seine Mitstreiter Wege gefunden, Signaturfelder und Textkommentare – also erlaubte Änderungen – so zu gestalten und geschickt zu tarnen, dass sie von echtem Dokumentinhalt nicht zu unterscheiden sind.
Camouflage
Unter den Kommentarfunktionen haben sich die Textfeld- und Redigieren-Funktionen als besonders geeignet für Angriffe erwiesen, weil sich mit ihnen ein Vertragstext leicht „überdrucken“ lässt – etwa die Höhe einer Zahlung. Weil die gängigen PDF-Anwendungen in der Regel weder auf vorhandene Kommentare hinweisen noch die Kommentarleiste automatisch einblenden, fällt es unbedarften, technisch weniger versierten Nutzern schwer, solche Manipulation zu erkennen. Um auch misstrauische Zeitgenossen zu täuschen, zeigten die Forscher zusätzlich, wie sich der PDF-Code so manipulieren lässt, dass die zweckentfremdeten Kommentare nicht mehr in der dafür vorgesehenen Leiste erscheinen.
Auch die eigentlich zum Unterschreiben gedachten PDF-Signaturfelder konnten die Forscher erfolgreich für solche Angriffe benutzen, da diese beliebigen Content wie Text, Bilder und Grafiken enthalten dürfen.
Die Wissenschaftler stellen ihre Ergebnisse heute auf der IT-Security-Konferenz IEEE Symposium for Security and Privacy vor. Sämtliche Testdokumente sowie die ausführliche Studie stehen in Kürze unter pdf-insecurity.org unter "Attacks on PDF Certification (May 2021) zum Download – ebenso wie zwei Tools, mit denen Nutzer ihre bevorzugten PDF-Apps selbst testen und Dokument-Zertifikate auf diese Sicherheitslücken abklopfen können.
(atr)
