Forschern der Ruhr-Universität Bochum ist es gelungen, die Inhalte
von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei
ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen
bemerkten die Manipulation nicht. Signierte PDF-Dateien werden von
vielen Firmen für Rechnungen verwendet; manche Staaten wie Österreich
oder die USA schützen damit auch Regierungsdokumente. Die Forscher vom
Bochumer Horst-Görtz-Institut für IT-Sicherheit veröffentlichten ihre
Ergebnisse am 25.02.2019 online (https://pdf-insecurity.org).
Demnach waren 21 der getesteten Desktop-Anwendungen und fünf
Online-Services durch mindestens einen der drei Angriffe
verwundbar. Die IT-Experten konnten jeden beliebigen Inhalt der
PDF-Dokumente verändern. So verwandelten sie beispielsweise einen zu
zahlenden Rechnungsbetrag in eine Kostenrückerstattung von einer Billion
US-Dollar, ohne die Signatur der PDF-Rechnung zu kompromittieren. Listen aller analysierten PDF-Anwendungen (https://www.pdf-insecurity.org/signature/viewer.html) und Online-Services (https://www.pdf-insecurity.org/signature/services.html) finden sich auf der Webseite zum Angriff.
via https://idw-online.de/de/news711063
Keine Kommentare:
Kommentar veröffentlichen