Digitale personalisierte Signaturen gelten seit Jahren als beliebtes Sicherheitsfeature von PDFs, um Dokumente wie Rechnungen digital auszustellen oder auch Arbeitsverträge online zu unterzeichnen. Die große Verbreitung und das große Anwendungsspektrum dieser Signaturen sowie des PDF-Formats generell macht sie jedoch auch zu einem interessanten Angriffsziel für Cyber-Kriminelle. Experten des auf Cybersecurity spezialisierten Unternehmens SEC Consult haben sich die Signaturen in Bezug auf ihre Fälschungssicherheit genauer angesehen und stellte dabei erstaunliche Mängel fest.

Digitale Signaturen finden bereite Anwendung und werden üblicherweise herangezogen, um festzustellen, ob ein Online-Dokument authentisch ist. Diese Möglichkeit, die es seit 1999 gibt, soll die Authentifizierung des Gegenübers erleichtern und dadurch den Schutz vor Betrug erhöhen.

Die Signaturen sind gut etabliert und darauf ausgelegt, besonders sicher und nicht imitierbar zu sein. In den vergangenen Jahren gab es dennoch mehrfach Versuche von Hackern, dieses Feature auszunützen und durch gefälschte Signaturen und Sicherheitslücken Betrugsversuche umzusetzen.

Johannes Greil, Leiter des SEC-Consult-eigenen Security Labors Vulnerability Lab, erklärt, weshalb Signaturen häufig Ziel von Angriffen werden: „Stammt ein Dokument vermeintlich von einer Person, der wir vertrauen, und ist dies vielleicht sogar über die Sicherheitsindikatoren abgesichert, ist die Chance, dass ein Betrugsversuch erst viel später bemerkt wird, deutlich höher, als wenn Schadcode fremden Ursprungs versendet wird. Eine überzeugende Imitation muss zwar einige Bedingungen erfüllen, es zeigt sich aber auch, dass die digitalen Signaturen auf unterschiedlichen Wegen fälschbar sind. Je mehr Features und Funktionen in PDFs eingebaut werden, desto mehr Angriffsvektoren eröffnen sich.“

Vier Indikatoren sollen Fälschungssicherheit garantieren

Ein Betrugsversuch, der die Signaturen von PDFs mit einbezieht, versucht in der Regel Sicherheitslücken in den PDF-Readern auszunützen. AngreiferInnen suchen dazu nach Schwachstellen, um diese Informationen zu fälschen. Das SEC Consult Vulnerability Lab ging einen etwas anderen Weg und testete, ob ein Dokument optisch so präpariert werden kann, dass es UserInnen vortäuscht, signiert zu sein.

Durch dieses Vorgehen können auch unsignierte Dokumente zweifelhaften Ursprungs als vertrauenswürdig dargestellt werden. Abhängig davon, welche PDF-Applikation genützt wurde und ob Vorwissen über die Signatur und das verwendete Betriebssystem verfügbar war, waren diese Versuche auch tatsächlich erfolgreich.
Um die Authentizität eines signierten Dokuments heranzuziehen, sind für Anwender vier Indikatoren von besonderer Bedeutung:

  • Signaturgrafik: Sie zeigt eine Signatur visuell im PDF an.
  • Signaturleiste: Sie gibt grundlegende Informationen zur Gültigkeit der Signatur.
  • Signaturpanel: Es enthält Zusatzinformationen über den Besitzer der Signatur.
  • Pop-up-Fenster: Es enthält Informationen über das Zertifikat selbst.

Visual-Spoofing: Gefälschte Indikatoren ersetzen die reale Signatur

Eine Signaturfälschung mittels Visual-Signature-Spoofing benötigt seitens der Hacker ein wenig Vorwissen über die Personen. Um authentisch zu wirken, müssen sie wissen, wie die Signatur der imitierten Person aussieht, und sie wissen im Optimalfall auch, welches Betriebssystem ihr Opfer nützt, um die nachgebauten Signaturbausteine dem System entsprechend zu gestalten.

SEC Consult gestaltete die vier Elemente grafisch nach und ließ diese in unsignierten Dokumenten anzeigen. Die Ergebnisse waren, sofern die Originalsignatur bekannt war, täuschend echte Fälschungen. Aufmerksame NutzerInnen konnten jedoch vom Standard abweichendes Verhalten wie eine verlängerte Reaktionszeit sowie eine fehlende

Verschiebbarkeit der Elemente bemerken.
In dem Versuch von SEC Consult wurden die drei PDF-Applikationen Adobe Acrobat Reader DC, Foxit Reader und Okular getestet. Als sicherster Reader in Bezug auf das Spoofing stellte sich im Test Okular heraus, da Features fehlten, die es den Lab-MitarbeiterInnen erlaubt hätten, die gefälschten Signaturelemente korrekt zu platzieren.

Zudem ist JavaScript, über welches die Platzierung erfolgt, in den Voreinstellungen deaktiviert. Auch bei dem Foxit-Reader waren die Spoofing-Versuche nur teilweise erfolgreich, da nicht alle benötigten Funktionen unterstützt wurden.

Bei dem Adobe Acrobat Reader DC, einem sehr häufig genützten Reader, zeigten sich jedoch gravierende Mängel. Nicht nur waren alle für das Spoofing benötigten Elemente in den Voreinstellungen automatisch aktiviert, sondern Widget Annotations konnten auch beliebig ein- und ausgeblendet werden, wodurch das Öffnen und Schließen von Fenstern und Pop-ups imitiert werden konnte.

Dadurch war es möglich, alle vier Signaturelemente überzeugend zu fälschen. Adobe gab auf die Anfrage von SEC Consult keine Stellungnahme ab. Auch andere Reader könnten zukünftig von solchen Fälschungen betroffen sein, wenn die dafür nötigen Features implementiert werden. (rhh)

Mehr Details zu den Tests von SEC Consult