Эксперты нашли способ подделать цифровую подпись PDF-документов

Эксперты нашли способ подделать цифровую подпись PDF-документов

Специалисты Рурского университета в Бохуме утверждают, что им удалось сломать систему электронных подписей и создать фейковые сигнатуры для большинства десктопных приложений для просмотра файлов PDF.

В результате способ экспертов сработал в случае с 21 из 22 десктопных PDF-вьюверов. Помимо этого, исследователи также обошли защитные меры пяти из семи онлайн-сервисов для цифровой подписи PDF.

Из популярных приложений такого класса можно отметить Adobe Acrobat Reader, Foxit Reader и LibreOffice, а примеры вышеназванных сервисов — DocuSign и Evotrust.

Группа из пяти экспертов работала над этой техникой с октября 2018 года. И теперь им удалось выявить уязвимые приложения и онлайн-сервисы. Специалисты дождались выхода патчей от разработчиков, и лишь потом открыли результаты своего исследования.

Исследователи отмечают, что цифровые подписи PDF крайне важны. Именно поэтому они были готовы ждать целые месяцы, пока компании выпускают патчи. Их можно понять, ведь подписанный цифровой подписью PDF-документ может использоваться в суде.

Более того, такие документы также используют для подтверждения финансовых транзакций и пресс-релизов государственного уровня.

Если у злоумышленников будет возможность подделать цифровую подпись, появится возможность для кражи огромного количества денег. Также киберпреступники, используя фейковую подпись для документа PDF, могут посеять хаос среди компаний.

Всего эксперты описали три важнейшие уязвимости:

  1. Universal Signature Forgery (USF) — позволяет атакующим воздействовать на процесс валидации подписи. Таким образом, пользователю отобразится поддельное сообщение о достоверности подписи.
  2. Incremental Saving Attack (ISA) — позволяет добавить дополнительный контент на уже подписанный документ PDF.
  3. Signature Wrapping (SWA) — схожая с ISA уязвимость, однако здесь используется система «оборачивания» вокруг дополнительного контента злоумышленника.

«На данный момент мы не встречали подтверждение того, что эксплойты для этих брешей используются в реальных атаках», — пишут эксперты.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В WhatsApp запустили ложное сообщение о том, что сервис станет платным

Пользователи WhatsApp стали получать предупреждения о мнимом переводе мессенджера на платную основу. Чтобы этого не произошло, автор фальшивки предлагает получателю разослать его десяти своим контактам.

Известие, не соответствующее действительности, получают в основном пенсионеры. Специалисты по ИБ призывают всех игнорировать его — подобные «утки» (hoax) ранее зачастую распространялись по email, нередко с целью манипуляции общественным мнением. Профессионалы называли такие послания «письмами счастья» или «цепочечными письмами», так как получатели нередко слепо следовали инструкциям, порождая лавину мусора, засорявшего ящики пользователей.

В данном случае поводом послужило вступление в силу новых правил WhatsApp в отношении использования ПДн пользователей. В январе этого года оператор веб-сервиса объявил о грядущем изменении политики конфиденциальности: мессенджер будет обмениваться данными пользователей с другими сервисами Facebook.

Несогласным с изменением условий пригрозили удалением аккаунтов. Нововведение планировалось запустить 8 февраля, однако рост недовольства и отток клиентов заставил руководство WhatsApp отложить дедлайн до 15 мая. Накануне этой даты они смягчили обещанные репрессивные меры, решив вместо удаления аккаунтов поэтапно отключать доступ к таким функциям, как чаты, звонки и уведомления, попутно продолжая информировать пользователей о необходимости принять новые условия.

Не исключено, что автор нового цепочечного послания задумал таким образом окончательно подорвать репутацию мессенджера, из которого поклонники приватности уже сбежали в Telegram и Signal. А может, это попросту хулиган, решивший похвастаться своими подвигами перед знакомыми. Если WhatsApp выявит этого недоброжелателя, он сможет подать на него в суд за причинение ущерба.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru