Digitale Unterschriften Forscher täuschen PDF-Reader mit verstecktem Text

Wissenschaftler der Ruhr-Universität Bochum haben erneut PDF-Reader überlistet. Mit der Masche können Betrüger ihre Opfer dazu bringen, Dokumente digital zu signieren, in denen später etwas ganz anderes steht.
Fast alle PDF-Programme scheitern daran, versteckte Inhalte in Dokumenten zu erkennen

Fast alle PDF-Programme scheitern daran, versteckte Inhalte in Dokumenten zu erkennen

Foto: Dominic Lipinski/ dpa

Viele Firmen und Behörden setzen gerade in Corona-Zeiten auf digital signierte PDF-Dokumente. Kunden und Mitarbeiter können entsprechende Verträge und Rechnungen ohne viel Papierkram im Homeoffice digital unterschreiben. Doch auf PDF-Reader ist offenbar kein Verlass, wenn es darum geht, digitale Signaturen zu überprüfen.

Forscher der Ruhr-Universität Bochum haben herausgefunden, dass fast alle PDF-Programme daran scheitern, versteckte Inhalte in Dokumenten zu erkennen. Das Problem: Die Prüfmechanismen schlagen keinen Alarm, wenn Betrüger ihrem Opfer ein manipuliertes PDF für eine Unterschrift zuschicken und später den Inhalt austauschen. Von 28 getesteten Readern wehren sich lediglich drei Programme für Mac erfolgreich gegen die von den Forschern demonstrierten Angriffe .

Shadow-Attacks  nennen die Wissenschaftler diese Methode. Dafür haben sie PDF-Dateien so manipuliert, dass sich betrügerische Textpassagen zunächst im Hintergrund verbergen. So ist auf einer digital signierten PDF-Rechnung beispielsweise zunächst der vereinbarte Betrag sichtbar. Wenn das Opfer unterschreibt, dann könnten die Betrüger die Summe im Nachhinein auswechseln und auf diese Weise mehr Geld abkassieren.

Selbst Laien könnten diese Betrugsmethode testen, sagt Christian Mainka aus dem Forscherteam im Gespräch mit dem SPIEGEL. Es sei "sehr leicht, ein gefälschtes PDF-Dokument zu erstellen. Das kann jeder Nutzer mit einem Texteditor."

Demnach gibt es vor allem drei Methoden, um die Schattenangriffe auszuführen:

  • Der "Hide"-Angriff ist sozusagen der Einstieg in die Shadow-Attacken. Wenn die Betrüger ein PDF erstellen, platzieren sie einfach ein Bild über einem Text. Das kann beispielsweise eine nicht abgesprochene Klausel in einem Vertrag sein, die überdeckt wird. Nachdem das Opfer den Vertrag unterschrieben hat, entfernen die Betrüger das Bild wieder, und die Textpassage wird sichtbar.

  • Die "Replace"-Variante ist etwas ausgefeilter. Die Wissenschaftler haben herausgefunden, dass viele PDF-Programme erlauben, die Schriftart im Nachhinein zu ändern, ohne Alarm zu schlagen. Mit einer selbst entwickelten Schriftart können die Angreifer beispielsweise aus einer 1 eine 9 machen und Geldbeträge so künstlich erhöhen.

  • Die "Hide and Replace"-Attacke bezeichnen die Forscher als die mächtigste Betrugsmethode, mit der komplette Dokumente ausgetauscht werden können. Die Betrüger knöpfen sich dafür den sogenannten Seitenbaum vor, der unter anderem vorgibt, wie viele Seiten ein PDF-Dokument hat. Während das Opfer zum Beispiel nur eine Seite sieht, können sich derweil im Hintergrund zahlreiche weitere Seiten verbergen, die erst angezeigt werden, wenn das Dokument unterschrieben ist.

Solche Änderungen in signierten PDF-Dateien dürften eigentlich nicht funktionieren. In der Regel genügt ein veränderter Buchstabe, um das Dokument ungültig zu machen. Doch die Prüfprogramme der PDF-Reader schlagen nicht an, da der nachträglich eingeblendete Text ja immer da war, aber eben nicht sichtbar.

BSI informiert Hersteller über Sicherheitslücke

"Das PDF-Format muss überarbeitet werden", sagt Mainka. "Wir haben in den vergangenen Jahren sehr viele Schwachstellen in PDF-Dokumenten gefunden." Dafür wollen die Wissenschaftler künftig auch enger mit Entwicklern zusammenarbeiten.

Die Forscher haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Probleme unterrichtet. BSI-Mitarbeiter nahmen daraufhin Kontakt zu den Entwicklern aller betroffenen PDF-Programme auf. Große Unternehmen wie Adobe haben bereits Updates angekündigt, um Shadow-Attacks zu unterbinden. Andere, vor allem kleinere Firmen, haben laut den Wissenschaftlern trotz mehrfacher Kontaktaufnahme nicht reagiert.

Mit seinen Kollegen hatte Christian Mainka bereits im Februar vergangenen Jahres die Entwickler von PDF-Programmen auf Schwachstellen in PDF-Readern hingewiesen. Seitdem hat sich einiges getan, sagt der Wissenschaftler. Doch die Gefahr von Manipulationen bestehe immer noch. "Der Haken ist mittlerweile, dass wir das PDF vorher präparieren müssen, um den Inhalt im Nachhinein ändern zu können", sagt Mainka.

Die Wiedergabe wurde unterbrochen.