Ein digitaler Vertrag wird von einem Mann am Tablet unterschrieben.
picture alliance / Westend61 | Boy

IT-Sicherheit
Selbst zertifizierte Signaturen sind unsicher

Wenn Vertragsparteien PDF-Dokumente zur Unterschrift austauschen, öffnen sich Sicherheitslücken. Bochumer Informatiker zeigen dies in neuer Studie.

25.05.2021

Zwei Firmen möchten einen Vertrag digital unterzeichnen. Laut einer Studie des Bochumer Horst-Görzt-Instituts für IT-Sicherheit wird der Vertrag oft als Portable Document Format (PDF) aufgesetzt. Während die Firmenleitungen möchten, dass der Vertragstext unveränderlich ist, müsse dennoch auf beiden Seiten weiterhin möglich sein, dass Ergänzungen vorgenommen werden. Dabei gehe es um die eigentliche Unterschrift, aber auch um Zahlungsdaten oder erklärende interne Kommentare für das Management. Das Dokument könne mit einer Zertifizierung gesichert werden, die nur noch einzelne Veränderungen ermögliche.

Die Bochumer Forschenden umgingen nun die Integrität der zertifizierten PDF-Dokumente mit zwei neuen Angriffen, der Sneaky Signature Attack (SSA) und der Evil Annotation Attack (EAA). Sie konnten bei 24 von 26 getesteten PDF-Anwendungen (beispielsweise Adobe Acrobat Reader DC oder Nitro Reader) mit mindestens einem dieser beiden Angriffe PDF-Dokumente erfolgreich manipulieren.

Ein Angreifer könne PDF-Dokumente verändern, beispielsweise neue Kontoinformationen im Vertrag hinterlegen, so dass Gelder an ihn gezahlt werden und nicht an den eigentlichen Vertragspartner. Änderungen am Dokument sollten zwar kenntlich gemacht sein, aber dies sei im Versuch ebenfalls umgangen worden. Auch die Zertifizierung sei nicht als ungültig angezeigt worden, sondern bestand weiter.

Neben dieser Sicherheitslücke verweist die Studie auch auf eine weitere Problematik, speziell in Adobe-Produkten. Zertifizierte Adobe-Dokumente könnten JavaScript-Code ausführen, beispielsweise beliebige URLs aufrufen, um die Identität eines Users zu verifizieren. Die Forschenden zeigten, dass Angreifer über diesen Mechanismus in der Lage seien, schadhaften Code in ein zertifiziertes Dokument einzuschleusen. So könne die Privatsphäre von Nutzerinnen und Nutzern ausgespäht werden, wenn beim Öffnen ihre IP-Adresse und Informationen über die genutzte PDF-Anwendung an Externe gesendet würden.

Das zugrundeliegende Problem bestehe darin, dass Teile des PDF-Dokuments unveränderlich blieben, während andere angepasst werden können sollten. Bei anderen Dateiformaten wie XML habe dies zuvor zu Schwachstellen geführt. Die Forschenden haben ihre Erkenntnisse zu den Sicherheitslücken und Möglichkeiten zu ihrer Behebung bereits den Herstellern der PDF-Anwendungen zur Verfügung gestellt.

cpy