Shadow attack: Αλλάζει το περιεχόμενο ψηφιακά υπογεγραμμένων PDF

Μια έρευνα έδειξε ότι 15 από 27 PDF viewer εφαρμογές για επιτραπέζιους υπολογιστές είναι ευάλωτες σε μια νέα επίθεση, που ονομάζεται Shadow Attack και επιτρέπει σε κακόβουλους hackers να τροποποιήσουν το περιεχόμενο των ψηφιακά υπογεγραμμένων εγγράφων PDF.

Η λίστα των ευάλωτων εφαρμογών περιλαμβάνει τα: Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement και άλλα, σύμφωνα με νέα έρευνα που δημοσιεύθηκε αυτήν την εβδομάδα από ακαδημαϊκούς του Ruhr-University Bochum στη Γερμανία.

Η κύρια ιδέα πίσω από το Shadow Attack είναι η έννοια των “επιπέδων προβολής” – διαφορετικά σύνολα περιεχομένου που επικαλύπτονται το ένα πάνω στο άλλο μέσα σε ένα έγγραφο PDF.

Κατά τη διάρκεια του Shadow Attack, ο επιτιθέμενος προετοιμάζει ένα έγγραφο PDF με διαφορετικά σύνολα περιεχομένου και το στέλνει σε ένα θύμα. Το θύμα υπογράφει ψηφιακά το έγγραφο, αλλά όταν το δέχεται ο εισβολέας, αλλάζει το ορατό περιεχόμενο (όπου υπέγραψε το θύμα) με ένα άλλο.

Επειδή το περιεχόμενο είχε συμπεριληφθεί στο πρωτότυπο έγγραφο που υπέγραψε το θύμα, η αλλαγή δεν επηρεάζει την κρυπτογραφημένη υπογραφή και επιτρέπει στον επιτιθέμενο να χρησιμοποιήσει το νομικά δεσμευτικό έγγραφο για παράνομες ενέργειες – όπως αντικατάσταση του παραλήπτη μιας πληρωμής ή τροποποίηση των όρων μιας σύμβασης κλπ.

Σύμφωνα με την ερευνητική ομάδα υπάρχουν τρεις παραλλαγές του Shadow Attack:

• Απόκρυψη: Οι επιτιθέμενοι χρησιμοποιούν τη δυνατότητα Incremental Update του PDF για να αποκρύψουν περιεχόμενο, χωρίς να το αντικαταστήσουν με οτιδήποτε άλλο.
• Αντικατάσταση: Οι επιτιθέμενοι χρησιμοποιούν τη δυνατότητα Interactive Forms του PDF για να αντικαταστήσουν το αρχικό περιεχόμενο με μια τροποποιημένη τιμή.
• Απόκρυψη και αντικατάσταση: Οι επιτιθέμενοι χρησιμοποιούν ένα δεύτερο έγγραφο PDF που περιέχεται στο αρχικό έγγραφο για να το αντικαταστήσουν εντελώς.

Η τρίτη παραλλαγή είναι η πιο ισχυρή, δεδομένου ότι το περιεχόμενο ολόκληρου του εγγράφου μπορεί να τροποποιηθεί.

“Ο επιτιθέμενος μπορεί να δημιουργήσει ένα πλήρες έγγραφο που τροποποιεί την παρουσίαση κάθε σελίδας, ή ακόμα και τον συνολικό αριθμό σελίδων, καθώς και κάθε αντικείμενο που περιέχεται σε αυτήν”.

Οι ερευνητές λένε ότι το Shadow Attack είναι αποτελεσματικό, επειδή τα έγγραφα PDF, ακόμη και όταν έχουν υπογραφεί ψηφιακά, επιτρέπουν την παρουσία PDF objects που δεν χρησιμοποιούνται μέσα στο περιεχόμενό τους.

Οι εφαρμογές προβολής PDF που δεν επιτρέπουν επιπλέον PDF objects κατά την υπογραφή ενός εγγράφου, δεν επηρεάζονται από το Shadow Attack.

Υπάρχουν διαθέσιμα patches

Οι ακαδημαϊκοί είπαν ότι συνεργάστηκαν με το CERT-Bund (Computer Emergency Response Team of Germany) και επικοινώνησαν με τους κατασκευαστές εφαρμογών PDF για να αναφέρουν τη νέα απειλή και να βρουν μια λύση πριν τη δημοσίευση των ευρημάτων τους.

Υπάρχουν κάποια patches διαθέσιμα. Επομένως, οι εταιρείες πρέπει να ενημερώσουν τις εφαρμογές προβολής PDF για να βεβαιωθούν ότι τα έγγραφα PDF που υπογράφουν δεν μπορούν να παραβιαστούν μέσω Shadow Attack.