Исследователи подделали электронные подписи в самых популярных PDF-ридерах
Специалисты обнаружили уязвимости в процессе цифровой подписи, используемом десктопными и online-приложениями.
Команде ученых Рурского университета в Бохуме (Германия) удалось взломать системы электронной цифровой подписи и подделать подписи в 21 из 22 исследуемых программ для просмотра PDF-документов и пяти из семи online-сервисов для цифровой подписи PDF-документов. В числе взломанных оказались Adobe Acrobat Reader, Foxit Reader и LibreOffice, а также online-сервисы DocuSign и Evotrust. Исследователи обнаружили три уязвимости в процессе цифровой подписи, используемом несколькими десктопными приложениями и online-сервисами:
Универсальная подделка подписи (Universal Signature Forgery, USF) – позволяет злоумышленнику обмануть процесс проверки подлинности подписи и заставить его отображать жертве панель, подтверждающую подлинность подписи;
Инкрементальная атака (Incremental Saving Attack, ISA) – позволяет злоумышленнику добавлять дополнительный контент в уже подписанные PDF-документы через механизм инкрементного обновления без вмешательства в уже существующую подпись;
«Заворачивание» подписи (Signature Wrapping, SWA) – уязвимость сходна с ISA, но вредоносный код также содержит дополнительную логику для обмана процесса подтверждения подлинности подписи. С ее помощью механизм валидации подписи «обертывается» вокруг добавленного злоумышленником дополнительного контента и успешно подписывает инкрементное обновление.
С октября прошлого года пятеро ученых совместно с Компьютерной группой реагирования на чрезвычайные ситуации Германии (BSI-CERT) работали над уведомлением производителей уязвимых приложений о наличии проблем в их продуктах. Команда опубликовала результаты своего исследования спустя неделю после того, как все производители выпустили соответствующие обновления безопасности.