Группа исследователей из Университета Рур-Бохум в Германии проанализировала 22 настольных приложения (включая их версии для Windows, Linux и macOS) и 7 онлайн-сервисов проверки.
Подписи в формате PDF, основанные на криптографических операциях, широко используются организациями по всему миру для обеспечения защиты их документов от несанкционированных изменений. Многие правительства подписывают свои официальные документы, исследователи часто подписывают научные статьи, а такие крупные компании, как Amazon, как известно, подписывают такие документы, как счета. Если подписанный документ был изменен, его подпись должна стать недействительной.
Подделка подписи PDF
Однако исследователи из Университета Рур-Бохум продемонстрировали, что подавляющее большинство средств просмотра PDF и онлайн-сервисов проверки уязвимы по крайней мере к одному из трех методов атаки с использованием подделки подписи PDF.
Эксперты показали, что неавторизованный пользователь может использовать различные методы для внесения изменений в PDF-документ, не делая его подпись недействительной.
Список уязвимых приложений включает Adobe Reader, Foxit Reader, LibreOffice, Nitro Reader, PDF-XChange и Soda PDF, которые являются одними из самых популярных программ для чтения PDF. Список затронутых служб проверки включает в себя DocuSign, Службу проверки eTR, DSS Demonstration WebApp, Evotrust и VEP.si.
Единственное приложение, которое не было уязвимо по крайней мере для одного типа атак, - это Adobe Reader 9, работающий в Linux, тогда как единственным неуязвимым онлайн-сервисом была версия 5.4 DSS Demonstration WebApp. Исследователи работали с CERT-Bund, правительственным CERT Германии, чтобы уведомить затронутых поставщиков и предоставить им информацию, необходимую для решения проблем. Хотя некоторые онлайн-сервисы еще не выпустили исправления, все компании, предоставляющие приложения для просмотра PDF, выпустили исправления.
Три метода атаки, идентифицированные исследователями, были названы «Универсальный подлог подписи» (USF), «Инкрементная атака с сохранением» (ISA) и «Атака с использованием подписи» (SWA).
В случае USF злоумышленник может манипулировать метаинформацией в подписи, чтобы приложение, использованное для открытия измененного PDF-файла, находило подпись, но не данные, необходимые для проверки. Несмотря на отсутствующую информацию, подпись все еще показана как действительная в некоторых приложениях, таких как Acrobat Reader DC и Reader XI.
Атака ISA, которая затрагивает многие протестированные приложения и сервисы, использует легитимную функцию в спецификации PDF. Эта функция позволяет обновлять файлы путем добавления изменений, таких как сохранение аннотаций или добавление новых страниц в документ. Злоумышленник может изменить документ, внеся изменения в элемент, который не является частью защиты целостности подписи.
Наконец, атака SWA, которая затрагивает многие приложения PDF и некоторые онлайн-службы проверки, заставляет логику проверки подписи обрабатывать разные данные, «перемещая первоначально подписанный контент в другую позицию в документе и вставляя новый контент в выделенную позицию».
Исследователи опубликовали статью и создали специальный веб-сайт, который содержит технические подробности атак pdf-insecurity.org.