Onderzoekers van de Ruhr University Bochum en het securitybedrijf Hackmanit is het gelukt om de inhoud van digitaal gesigneerde PDF-documenten te wijzigen. De digitale handtekening veranderde daarbij niet. Deze handtekening dient echter als bewijs dat de inhoud juist niet is aangepast.
Gesigneerde PDF-documenten worden voor veel toepassingen gebruikt, onder andere voor overheidszaken.
Rechtsgeldig
In Oostenrijk is nieuwe wetgeving bijvoorbeeld pas rechtsgeldig, nadat deze is aangekondigd in een PDF-document dat is voorzien van een digitale handtekening. In de Verenigde Staten is het voor burgers mogelijk om belastingzaken via gesigneerde PDF-documenten regelen. Nu is dus gebleken dat van een bestaand gesigneerd PDF-document de inhoud gewijzigd kan worden, terwijl de digitale handtekening gewoon geldig blijft.
Niet beschermd
De onderzoekers namen 22 PDF-lezers voor de desktop en 7 online validatiediensten onder de loep. “We kunnen dus een document gesigneerd door invoicing@amazon.de vervalsen om ons één biljoen dollar terug te geven,” stellen de onderzoekers. De onderzoekers hebben de verschillende ontwikkelaars van de PDF-lezers op de hoogte gebracht van hun bevindingen. Naar aanleiding daarvan hebben ontwikkelaars tegenmaatregelen genomen en updates ter beschikking gesteld. Echter, nog niet alle PDF-lezers zijn beschermd tegen deze kwetsbaarheden. Dit blijkt uit het overzicht op pdf-insecurity.org.