PDF-Re­a­der über­lis­tet

Kun­den und Mit­ar­bei­ter kön­nen ent­spre­chen­de Ver­trä­ge und Rech­nun­gen ohne viel Pa­pier­kram im Ho­me­of­fice di­gi­tal un­ter­schrei­ben. Doch auf PDF-Re­a­der ist of­fen­bar kein Ver­lass, wenn es darum geht, di­gi­ta­le Si­gna­tu­ren zu über­prü­fen. DER SPIE­GEL ver­öf­fent­lich­te dazu am heu­ti­gen Mitt­woch, 22.​07.​2020 einen Ar­ti­kel dar­über, dass fast alle PDF-Pro­gram­me daran schei­tern, ver­steck­te In­hal­te in Do­ku­men­ten zu er­ken­nen. An den For­schungs­er­geb­nis­sen maß­geb­lich be­tei­ligt war der Lehr­stuhl für Netz- und Da­ten­si­cher­heit der RUB von Prof. Dr. Jörg Schwenk. Den Ar­ti­kel lesen Sie unter https://​www.​spiegel.​de/​netzwelt/​web/​digitale-unterschriften-forscher-taeuschen-pdf-reader-mit-verstecktem-text-a-a8b664e6-2a59-4c1e-809b-541d4effe22f.

2019 hat­ten die Bo­chu­mer For­scher be­reits Schwach­stel­len in der PDF-Si­gna­tur ent­deckt. Sie er­laub­ten es, den In­halt von Do­ku­men­ten un­be­merkt zu ma­ni­pu­lie­ren. Nun zeigt das Team, dass die er­grif­fe­nen Ge­gen­maß­nah­men kaum wir­ken.

De­tails zu den An­grif­fen, die sie Shadow At­tacks tauf­ten, ver­öf­fent­lich­ten die Wis­sen­schaft­ler am 22. Juli 2020 auf der Web­sei­te https://pdf-in­se­cu­ri­ty.​org/​. Die Schwach­stel­len mel­de­ten sie zuvor dem Com­pu­ter Emer­gen­cy Re­s­pon­se Team des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik. In wel­chen An­wen­dun­gen die Schwach­stel­le be­reits be­ho­ben ist, kann on­line unter https://pdf-in­se­cu­ri­ty.​org/​signature-shadow/​evaluation_​2020.​html ein­ge­se­hen wer­den.

Nach Be­kannt­wer­den der 2019 be­schrie­be­nen Si­cher­heits­lü­cken ba­sier­te eine weit­ver­brei­te­te Ge­gen­maß­nah­me dar­auf, Nut­ze­rin­nen und Nut­zer über Ver­än­de­run­gen an einem si­gnier­ten PDF-Do­ku­ment zu in­for­mie­ren. Die Ver­än­de­run­gen wer­den dabei in „po­ten­zi­ell ge­fähr­lich“ und „un­ge­fähr­lich“ ein­ge­stuft. Die un­ge­fähr­li­chen und somit er­laub­ten Än­de­run­gen an den PDF-Do­ku­men­ten un­ter­such­ten Dr. Chris­ti­an Main­ka, Dr. Vla­dis­lav Mla­de­nov (zur­zeit Gast­pro­fes­sor an der Uni­ver­si­tät Kon­stanz), Simon Rohl­mann und Prof. Dr. Jörg Schwenk vom Lehr­stuhl für Netz- und Da­ten­si­cher­heit ge­nau­er.

Fast alle un­ter­such­ten Pro­gram­me haben Schwach­stel­len

Die For­scher über­prüf­ten 28 po­pu­lä­re PDF-Do­ku­men­ten­be­trach­ter für die Be­triebs­sys­te­me Win­dows, Mac-OS und Linux. Bei 15 An­wen­dun­gen fan­den sie gra­vie­ren­de Schwach­stel­len: Nut­ze­rin­nen und Nut­zer er­hiel­ten keine War­nung, dass das Do­ku­ment ver­än­dert wor­den war. Wei­te­re zehn An­wen­dun­gen zeig­ten zwar Hin­wei­se an, stuf­ten die ge­tä­tig­ten Ver­än­de­run­gen aber nicht als Ma­ni­pu­la­ti­on ein. „Das Er­geb­nis ist alar­mie­rend. Wir konn­ten Teile oder sogar das ge­sam­te si­gnier­te Do­ku­ment ma­ni­pu­lie­ren, ohne dass die Si­gna­tur­prü­fung diese Ver­än­de­rung be­merk­te“, sagt Vla­dis­lav Mla­de­nov.

Zwei­stu­fi­ger An­griff

Die Shadow At­tacks er­fol­gen in zwei Pha­sen. Wäh­rend der Vor­be­rei­tung nutzt ein An­grei­fer Ei­gen­schaf­ten der PDF-Da­ten­struk­tur aus, um In­hal­te un­sicht­bar im PDF zu ver­ste­cken – wie einen Schat­ten. Das vor­be­rei­te­te Do­ku­ment legt er dann einem Si­gnie­rer vor, zum Bei­spiel dem Vor­ge­setz­ten oder Kon­sor­ti­al­part­ner. Die­ser möch­te das Do­ku­ment – etwa eine Rech­nung oder einen Ver­trag – si­gnie­ren und prüft in sei­ner PDF-An­wen­dung den an­ge­zeig­ten In­halt. Für ihn sieht das Do­ku­ment ein­wand­frei aus, so­dass er es di­gi­tal un­ter­schreibt. Auf­ga­be der di­gi­ta­len Si­gna­tur ist es nun, den In­halt der PDF-Da­tei vor Ver­än­de­run­gen zu schüt­zen.

An­schlie­ßend er­hält der An­grei­fer die si­gnier­te Datei und macht den ur­sprüng­lich plat­zier­ten, ver­steck­ten In­halt sicht­bar. In der Regel wer­den sol­che Än­de­run­gen am Do­ku­ment als un­ge­fähr­lich ein­ge­stuft, weil kein neuer In­halt hin­zu­ge­fügt wird, son­dern le­dig­lich In­hal­te aus dem si­gnier­ten Be­reich ge­nutzt wer­den. Die Ma­ni­pu­la­ti­on kann den an­ge­zeig­ten In­halt des Do­ku­men­tes aber kom­plett ver­än­dern.

Drei Arten von Shadow At­tacks

Das HGI-Team tes­te­te drei ver­schie­de­ne An­griffs­klas­sen. Bei der „Shadow At­tack Hide” wer­den die für die Opfer re­le­van­ten In­hal­te hin­ter einer sicht­ba­ren Schicht ver­bor­gen. Ein An­grei­fer könn­te zum Bei­spiel den Text „Un­ter­zeich­nen Sie hier für Ihre Kün­di­gung“ hin­ter einem ganz­sei­ti­gen Bild ver­ste­cken, auf dem steht: „Un­ter­zeich­nen Sie hier, um den Bonus zu er­hal­ten“.

Die Idee hin­ter der An­griffs­klas­se „Shadow At­tack Re­place“ ist es, dem si­gnier­ten Do­ku­ment neue Ob­jek­te hin­zu­zu­fü­gen, die als harm­los gel­ten, aber die Dar­stel­lung des si­gnier­ten In­halts di­rekt be­ein­flus­sen. Bei­spiels­wei­se ver­än­dert die (Neu-)De­fi­ni­ti­on von Schrif­ten den In­halt nicht di­rekt; selbst-de­fi­nier­te Schrif­ten er­lau­ben es aber, Zah­len oder Buch­sta­ben be­lie­big zu ver­tau­schen.

Die An­griffs­va­ri­an­te „Shadow At­tack Hi­de-and-Re­place” ver­steckt ein zwei­tes, voll­stän­dig de­fi­nier­tes PDF-Do­ku­ment mit an­de­rem In­halt in dem sicht­ba­ren Do­ku­ment.

Di­gi­ta­le PDF-Si­gna­tu­ren weit ver­brei­tet

Seit 2014 die Re­gu­lie­rung zu „Elec­tro­nic Iden­ti­fi­ca­ti­on, Au­then­ti­ca­ti­on and Trust Ser­vices“ in Kraft ge­tre­ten ist, spie­len PDF-Si­gna­tu­ren eine wich­ti­ge Rolle in der Eu­ro­päi­schen Union. Bei­spiels­wei­se wer­den Ver­trä­ge bei EU-Pro­jek­ten di­gi­tal si­gniert, in Ös­ter­reich trifft das auch auf alle Ge­set­ze zu. Un­ter­neh­men wie Ama­zon nut­zen PDF-Si­gna­tu­ren, um ihre Rech­nun­gen zu si­gnie­ren. Der di­gi­ta­le Si­gnier­dienst von Adobe wurde laut Aus­sa­gen des Her­stel­lers 2019 acht Mil­li­ar­den Mal ver­wen­det.

(Foto: Px­fu­el)