Zertifizierte PDF-Verträge weisen Sicherheitslücken auf
Dokument-Zertifikate sollen PDF-Verträge absichern. Doch ein Forscherteam der Ruhr-Universität Bochum fand nun heraus, dass sich solche PDF-Verträge nachträglich manipulieren lassen.
![Forschende aus Bochum stellen Tools zur Verfügung, damit Kunden ihre Anwendungen auf Sicherheit prüfen können. (Source: Cytonn Photography/Unsplash)](https://data.netzwoche.ch/styles/np8_full/s3/media/2021/05/26/cytonn-photography-gjao3ztx9gu-unsplash.jpg?itok=UEqbqedP)
Forschende der Ruhr-Universität Bochum haben festgestellt, dass sich unterschriebene PDF-Verträge leicht modifizieren lassen. Wissenschaftler am Lehrstuhl für Netz- und Datensicherheit untersuchten das PDF-Format auf Schwachstellen - und entdeckten zwei mögliche Angriffsszenarien, über die sich PDF-Dokumente nachträglich manipulieren lassen, wie "Heise.de" berichtet.
Betroffen sind laut dem Forscherteam 24 PDF-Anwendungen, darunter Acrobat und Foxit Reader. Problematisch sei zum einen, dass der Dokumentenstandard PDF 2.0 zu viel Spielraum lasse. Zum anderen bemängeln die Experten die Sicherheitsmechanismen.
Die Schwachstellen betreffen die Dokument-Zertifikate. Damit bescheinigen die Urheber eines Vertrages die Integrität des PDFs und gewähren den weiteren Partien eingeschränkte Bearbeitungsrechte, wie das Signieren und Ausfüllen von Formularfeldern oder das Hinzufügen von Anmerkungen. Mit solchen erlaubten Veränderungen bleibt das Zertifikat gültig. Versucht jemand jedoch, den Inhalt zu ändern, erkennt die PDF-Software diesen Manipulationsversuch und blendet eine Warnung ein. Diese macht das Zertifikat ungültig.
Die Forschenden haben Wege gefunden, erlaubte Änderungen an Signaturfeldern und Textfeldern so durchzuführen und zu tarnen, dass sie von echten Dokument-Inhalten nicht unterscheidbar sind. Besonders geeignet sind für solche Manipulationen seien die Textfeld- und die Redigieren-Funktionen, schreibt "Heise" weiter.
Hersteller kontaktiert
Solche Manipulationen könnten weniger versierten Nutzerinnen und Nutzern verborgen bleiben, denn die gängigen PDF-Anwendung weisen weder auf vorhandene Kommentare noch auf die Kommentarleiste hin. Ausserdem lasse sich der PDF-Code so verändern, dass die zweckentfremdeten Kommentare nicht mehr in der dafür vorgesehenen Leiste erscheinen. Auch die zum Unterschreiben gedachten PDF-Signaturfelder könnten für Angriffe verwendet werden.
Die Forschenden hätten die Hersteller diesbezüglich kontaktiert. Adobe, Foxit und die Stiftung "The Document Foundation" (Libre Office) haben gemäss "Heise" rasch reagiert und ihre Applikationen nachgebessert.
Die Forschenden präsentierten ihre Ergebnisse an der IT-Security-Konferenz IEEE Symposioum für Security und Privacy. Die Testdokumente sowie die Studie stehen auf pdf-insecurity.org unter "Attacks on PDF Certification (May 2021)" zum Download bereit. Die Forschenden stellen dort auch Tools zur Verfügung, mit denen Nutzerinnen und Nutzer ihre Dokument-Zertfikate auf diese Sicherheitslücken prüfen können.
Die Eidgenössische Finanzkontrolle (EFK) hat übrigens kürzlich ihren Jahresbericht 2020 veröffentlicht und darin mehrere Cyberrisiken in kritischen Infrastrukturen identifiziert. Betroffen seien unter anderem das Interbank-Zahlungssystem sowie die Gebäudesteuerung der Bundesverwaltung.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)
KI-Bildanalyse kann Brustkrebs-Stadium besser identifizieren
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)