Onderzoekers omzeilen digitale handtekening pdf-documenten

[Captain Kirk]

Onderzoekers zijn erin geslaagd de inhoud van digitaal gesigneerde pdf-documenten aan te passen zonder dat de digitale handtekening veranderde. De handtekening geeft juist aan dat de inhoud niet is aangepast. Gesigneerde pdf-documenten worden voor allerlei toepassingen gebruikt.

Het gaat bijvoorbeeld om overheidszaken. Zo is in Oostenrijk nieuwe wetgeving pas rechtsgeldig nadat het is aangekondigd in een digitaal gesigneerd pdf-document. In de Verenigde Staten kunnen burgers belastingzaken via gesigneerde pdf-documenten regelen. Het is echter mogelijk om een bestaand gesigneerd pdf-document te nemen en daarvan de inhoud aan te passen, zonder dat de digitale handtekening ongeldig wordt.

Voor hun onderzoek keken onderzoekers van Ruhr University Bochum en securitybedrijf Hackmanit naar 22 pdf-lezers voor de desktop en 7 online validatiediensten. 21 van de pdf-lezers en vijf van validatiediensten bleken kwetsbaar te zijn. "We kunnen dus een document gesigneerd door invoicing@amazon.de vervalsen om ons één biljoen dollar terug te geven", aldus de onderzoekers.

Ze waarschuwden de verschillende ontwikkelaars van de pdf-lezers, die vervolgens met updates en tegenmaatregelen kwamen. Toch zijn nog niet alle pdf-lezers tegen de aanvallen beschermd, zo blijkt uit het overzicht op pdf-insecurity.org

 

 

bron: security.nl