Շվեդական Ումեոյի համալսարանի ծրագրային ապահովման մշակման և անվտանգության փորձագետները վերլուծել են Java ծրագրով ստեղծված հավելվածները և լուրջ խոցելիություններ հայտնաբերել այս լեզվով տեղեկությունների ստացման և վերստեղծման մեթոդներում: Հետազոտությունը հրապարակվել է գիտական հաստատության պաշտոնական կայքում։
Java-ն, որը կիրառում է աշխարհի ծրագրավորողների ավելի քան 30%-ը, օգտագործվում է հավելվածների լայն շրջանակում՝ սկսած տեսախաղերից և վիդեո հոսքերից Spotify-ում և Netflix-ում մինչև տիեզերական հետազոտության, բանկային գործարքների և պետական համակարգերի ծրագրեր:
Փորձագետները վերլուծել են Java-ով գրված արտադրանքները, որոնք օգտագործում են ապասերիալիզացիա (deserialization)` տվյալների կառուցվածքը կոդավորված վիճակից վերականգնելու գործընթաց: Այս գործընթացը լայնորեն կիրառվում է օգտատերերի կարգավորումնեի ապահովման, խաղային տարբեր գործառույթներում, առցանց գնումների զամբյուղներում, առցանց բանկային փոխանցումներում և շատ այլ ոլորտներում:
Ինչպես պարզվում է, Java-ում ապասերիալիզացիայի գործընթացում հաքերները կարող են ամբողջական վերահսկողություն ձեռք բերել համակարգի նկատմամբ կոդի փոքր և սովորական սխալների պատճառով:
Հաքերներն արդեն օգտագործել են այս խոցելիությունները Սան Ֆրանցիսկոյի տրանսպորտի դեպարտամենտը կոտրելու, վճարային տերմինալներն արգելափակելու և Equifax-ից՝ ԱՄՆ-ի վարկային հաշվետվությունների ամենամեծ գործակալությունից, անձնական տվյալների ավելի քան 147 միլիոն ֆայլ գողանալու համար։
Փորձագետները նշում են, որ ներկայումս այս խոցելիությունը վերացնելու հեշտ ճանապարհ չկա, քանի որ Java-ով գրված շատ հավելվածները կախում ունեն արտաքին տվյալների գրադարաններից: Անվտանգության ապահովման միակ արդյունավետ մեթոդը Java-ով հավելվածներ մշակելու ժամանակ ապասերիալացումից խուսափելն է:
ամիս
շաբաթ
օր