Աշխարհի ծրագրավորողների 1/3-ի կողմից օգտագործվող լեզվում կրիտիկական խոցելիություններ են գտել

Շվեդական Ումեոյի համալսարանի ծրագրային ապահովման մշակման և անվտանգության փորձագետները վերլուծել են Java ծրագրով ստեղծված հավելվածները և լուրջ խոցելիություններ հայտնաբերել այս լեզվով տեղեկությունների ստացման և վերստեղծման մեթոդներում: Հետազոտությունը հրապարակվել է գիտական ​​հաստատության պաշտոնական կայքում։

Java-ն, որը կիրառում է աշխարհի ծրագրավորողների ավելի քան 30%-ը, օգտագործվում է հավելվածների լայն շրջանակում՝ սկսած տեսախաղերից և վիդեո հոսքերից Spotify-ում և Netflix-ում մինչև տիեզերական հետազոտության, բանկային գործարքների և պետական ​​համակարգերի ծրագրեր:

Փորձագետները վերլուծել են Java-ով գրված արտադրանքները, որոնք օգտագործում են ապասերիալիզացիա (deserialization)` տվյալների կառուցվածքը կոդավորված վիճակից վերականգնելու գործընթաց: Այս գործընթացը լայնորեն կիրառվում է օգտատերերի կարգավորումնեի ապահովման, խաղային տարբեր գործառույթներում, առցանց գնումների զամբյուղներում, առցանց բանկային փոխանցումներում և շատ այլ ոլորտներում:

Ինչպես պարզվում է, Java-ում ապասերիալիզացիայի գործընթացում հաքերները կարող են ամբողջական վերահսկողություն ձեռք բերել համակարգի նկատմամբ կոդի փոքր և սովորական սխալների պատճառով:

Հաքերներն արդեն օգտագործել են այս խոցելիությունները Սան Ֆրանցիսկոյի տրանսպորտի դեպարտամենտը կոտրելու, վճարային տերմինալներն արգելափակելու և Equifax-ից՝ ԱՄՆ-ի վարկային հաշվետվությունների ամենամեծ գործակալությունից, անձնական տվյալների ավելի քան 147 միլիոն ֆայլ գողանալու համար։

Փորձագետները նշում են, որ ներկայումս այս խոցելիությունը վերացնելու հեշտ ճանապարհ չկա, քանի որ Java-ով գրված շատ հավելվածները կախում ունեն արտաքին տվյալների գրադարաններից: Անվտանգության ապահովման միակ արդյունավետ մեթոդը Java-ով հավելվածներ մշակելու ժամանակ ապասերիալացումից խուսափելն է: