Professor i Umeå varnar om stora säkerhetsbrister i Java

Alexandre Bartel är professor vid institutionen för datavetenskap, Umeå universitet. Nu varnar han och flera europeiska forskare om svagheter i ett av världens största programmeringsspråk.

BildMattias Pettersson

Java ligger bakom applikationer som används i mobilspel, robotar och inbyggda system. Flera säkerhetsbrister har under åren rapporterats och nu har de europeiska forskarna gått till botten av problemen och undersökt om, och hur dessa har åtgärdats. De har tittat på alla Java-produkter som använder sig av deserialisering, en process där paketerad information återskapas till sitt tidigare tillstånd, t ex användarinställningar, spelfunktioner, kundvagnar eller bankapplikationer och genomfört en djupgående analys av befintliga sårbarheter och genomförda attacker.  
– Vi har identifierat svagheter och hur bristerna har åtgärdats. Problemet är att programmerarna verkar upprepa samma misstag om och om igen och därför återinför sårbarheterna, säger professor Alexandre Bartel.

Stora bolag påverkade

I studien "An In-Depth Study of Java Deserialization Remote-Code Execution Exploits and Vulnerabilities", som genomfördes i samarbete med Eric Bodden, professor vid Paderborn University, Tyskland, Yves Le Traon, professor vid Université du Luxembourg i Luxemburg och forskaren Imen Sayar, INRIA, ges flera exempel: 

• Brister i PayPals kritiska applikationer – gav tillgång till produktionsdatabaser
• Sårbarheter på San Fransiscos transportmyndighet – angriparna fick kontroll över 2 000 datorer och blockerade betalningssystemen
• Equifax, USA:s största kreditupplysningsföretaget i USA, – utsattes för en attack där angriparen lyckades stjäla 147,7 miljoner personuppgifter  

De europeiska forskarna kan se att byteflödet, (informationsflödet) öppnar upp för modifiering av angripare. 
– Det är under själva deserialiseringsprocessen, när man återskapar informationen, som angriparen får total kontroll över det mottagande systemet. Även mycket små förändringar i koden kan göra systemen sårbara för attacker, säger Alexandre Bartel.

Nya angrepp

De flesta Java-program är beroende av externa bibliotek och det finns inget enkelt sätt att åtgärda de drabbade systemen. Alexandre Bartel menar att utvecklare bör undvika att använda deserialisering helt och hållet för att förhindra att säkerhetsbrister introduceras i ny kod. 
– Våra resultat tyder på att hela leveranskedjan för den utvecklade applikationen bör verifieras noggrant under hela applikationens livscykel. Resultaten är mycket allvarliga då de har potential att bli kostsamma, inte bara för företag utan även för samhället i stort, säger Alexandre Bartel. 

Rönt stort intresse

Studien har publicerats i ansedda och selektiva Transactions on Software Engineering and Methodology journal, TOSEM, av The Assocation of Computing Machinery, ACM. Resultaten presenterades också vid ICSE, International Conference on Software Engineering, som är en av de mest prestigefyllda konferenserna inom området.

Alexandre Bartel och hans forskargrupp utvecklar nu metoder för att mer effektivt upptäcka dessa sårbarheter och förhindra attacker.