Von wegen sicher verschlüsselt: Dank zweier Schwachstellen lassen sich verschlüsselte PDFs knacken, wenn sie per E-Mail verschickt werden. Hacker können versteckte Befehle einfügen, die beim Öffnen des PDFs den Inhalt an sie zurückschicken, wie Tests deutscher IT-Forscher enthüllen. Betroffen von diesen Sicherheitslücken sind nahezu alle gängigen PDF-Reader für Windows, Mac-OS und Linux.
Das Portable Document Format (PDF) ist eines der weltweit am häufigsten eingesetzten Dateiformate. Weil es die Verschlüsselung des Inhalts erlaubt, wird es oft genutzt, um vertrauliche Dokumente über E-Mails oder Netzwerke hinweg auszutauschen – die Spanne reicht von Patientendaten im Medizinbereich bis zu Daten und Pläne in der Industrie. Auch viele Drucker und Scanner nutzen die PDF-Verschlüsselung bei der Übermittlung von Daten.
Abgefangen und manipuliert
Doch wie nun IT-Forscher der Ruhr-Universität Bochum (RUB) und der FH Münster herausgefunden haben, ist diese Verschlüsselung weniger sicher als angenommen. Denn wenn es einem Hacker gelingt, eine E-Mail mit einem verschlüsselten PDF abzufangen, kann er gleich zwei Sicherheitslücken ausnutzen, um an den Inhalt zu kommen. „Die einzige Voraussetzung ist, dass ein einziger Block von einfachem Plaintext im PDF vorhanden ist – und das schon vom Grundprinzip des PDFs her der Fall“, erklären Jens Müller von der RUB und seine Kollegen.
Das Knacken der Verschlüsselung funktioniert so: Wenn der Hacker das PDF abgefangen hat, manipuliert er den zugänglichen Bereich und versteckt darin Befehle für spätere Aktionen. Dann leitet er das manipulierte verschlüsselte PDF-Dokument an den ursprünglichen Empfänger weiter. Gibt dieser nun das Passwort ein um das PDF zu entschlüsseln und zu öffnen, wird der versteckte Befehl ausgeführt. Er sorgt dafür, dass der nun entschlüsselte Inhalt automatisch an den Angreifer geschickt wird.
Alle getesteten PDF-Reader waren anfällig
Die Forscher testeten 27 gängige PDF-Reader für Windows, MacOS und Linux auf die beiden Schwachstellen, darunter auch Adobe Acrobat und Foxit. Das Ergebnis: „Alle waren anfällig für mindestens einen dieser Angriffe“, so Müller und sein Team. 23 Programme ließen sich mit der sogenannten Direct Exfiltration knacken, das an teilweise verschlüsselten PDF-Dokumenten ansetzt. Alle PDF-Reader waren jedoch durch die Angriffsform CBC Gadgets angreifbar, die die versteckten Befehle in PDF-eigene Plaintext-Abschnitte einfügt.
Die Informatiker haben bereits das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Schwachstellen informiert. Diese entwickelten Lösungen, um die Sicherheitslücken zu schließen. Allen PDF-Nutzern raten die Forscher, ein Software-Update durchzuführen.
Details zu den getesteten PDF-Viewern und den Sicherheitslücken finden Sie auf einer dazu eingerichteten Website der Forscher.
Quelle: Ruhr-Universität Bochum