Gå direkt till innehåll
Alexandre Bartel är professor vid institutionen för datavetenskap, Umeå universitet. Nu varnar han och flera europeiska forskare om svagheter i ett av världens största programmeringsspråk. Foto: Mattias Pettersson
Alexandre Bartel är professor vid institutionen för datavetenskap, Umeå universitet. Nu varnar han och flera europeiska forskare om svagheter i ett av världens största programmeringsspråk. Foto: Mattias Pettersson

Pressmeddelande -

Professor i Umeå varnar om stora säkerhetsbrister i Java

Alexandre Bartel, professor vid Umeå universitet, har i samarbete med europeiska forskare upptäckt omfattande svagheter i ett av världens mest använda programmeringsspråk.

– Det handlar om brister i de processer som hämtar, tar emot och återskapar information – till exempel kundkonton, transaktioner eller patientjournaler. Det här kan skapa stora kostnader för företag och myndigheter och vi rekommenderar att helt ta bort funktioner som förlitar sig på deserialisering.

Java ligger bakom applikationer som används i mobilspel, robotar och inbyggda system. Flera säkerhetsbrister har under åren rapporterats och nu har de europeiska forskarna gått till botten av problemen och undersökt om, och hur dessa har åtgärdats.

De har tittat på alla Java-produkter som använder sig av deserialisering, en process där paketerad information återskapas till sitt tidigare tillstånd, till exempel användarinställningar, spelfunktioner, kundvagnar eller bankapplikationer, och genomfört en djupgående analys av befintliga sårbarheter och genomförda attacker.

– Vi har identifierat svagheter och hur bristerna har åtgärdats. Problemet är att programmerarna verkar upprepa samma misstag om och om igen och därför återinför sårbarheterna, säger Alexandre Bartel som är professor i programvaruteknik och datasäkerhet.

Stora bolag påverkade

I studien "An In-Depth Study of Java Deserialization Remote-Code Execution Exploits and Vulnerabilities", som genomfördes i samarbete med Eric Bodden, professor vid Paderborn University, Tyskland, Yves Le Traon, professor vid Université du Luxembourg i Luxemburg och forskaren Imen Sayar vid Institut de Recherche en Informatique de Toulouse, (IRIT), i Frankrike, ges flera exempel:

⦁ Brister i PayPals kritiska applikationer – gav tillgång till produktionsdatabaser

⦁ Sårbarheter på San Fransiscos transportmyndighet – angriparna fick kontroll över 2 000 datorer och blockerade betalningssystemen

⦁ Equifax, USA:s största kreditupplysningsföretaget i USA, – utsattes för en attack där angriparen lyckades stjäla 147,7 miljoner personuppgifter

De europeiska forskarna kan se att byteflödet, (informationsflödet) öppnar upp för modifiering av angripare.

– Det är under själva deserialiseringsprocessen, när man återskapar informationen, som angriparen får total kontroll över det mottagande systemet. Även mycket små förändringar i koden kan göra systemen sårbara för attacker, säger Alexandre Bartel.

Nya angrepp

De flesta Java-program är beroende av externa bibliotek och det finns inget enkelt sätt att åtgärda de drabbade systemen. Alexandre Bartel menar att utvecklare bör undvika att använda deserialisering helt och hållet för att förhindra att säkerhetsbrister introduceras i ny kod.

– Våra resultat tyder på att hela leveranskedjan för den utvecklade applikationen bör verifieras noggrant under hela applikationens livscykel. Resultaten är mycket allvarliga då de har potential att bli kostsamma, inte bara för företag utan även för samhället i stort, säger Alexandre Bartel.

Rönt stort intresse

Studien har publicerats i ansedda och selektiva TOSEM, tidskriften för ACM Transactions on Software Engineering and Methodology och har också presenterats på ICSE, International Conference on Software Engineering, en av de mest prestigefyllda konferenserna inom mjukvaruutveckling.

– Målet för oss är nu att utveckla metoder för att mer effektivt upptäcka dessa sårbarheter och förhindra attacker, säger Alexandre Bartel.

FAKTA Serialisering och deserialisering
Processer inom datavetenskap som innebär att "översätta" datastrukturer till en ström av bytes för att underlätta lagring i t.ex. ett minne, en fil eller under dataöverföring till en annan maskin. Exempel på detta är bl.a: Läkemedelssystem, där myndigheterna kräver att förpackningar ska ha koder så att de kan spåras genom hela leveranskedjan. Spelutveckling, för att lagra och ladda speldata, t.ex. spelarens framsteg, inställningar och sparade spel. Finanssektorn: lagring och överföring av data om finansiella transaktioner mellan banker och andra finansiella system.

Om Alexandre Bartel
Alexandre Bartel är professor i datavetenskap vid Umeå universitet och ledamot i WASPs Research Management Group – Software. WASP, som står för Wallenberg AI Autonomus Systems and Software Program, är Sveriges enskilt största forskningssatsning i syfte att positionera Sverige som en internationellt erkänd och ledande nation inom områdena artificiell intelligens, autonoma system och mjukvara.

Ämnen

Kategorier


Umeå universitet
Umeå universitet
är ett av Sveriges största lärosäten med omkring 37 000 studenter och drygt 4 300 medarbetare. Här finns en mångfald av utbildningar av hög kvalitet och världsledande forskning inom flera vetenskapsområden. Umeå universitet är också platsen för den banbrytande upptäckten av gensaxen CRISPR-Cas9 – en revolution inom gentekniken som tilldelats Nobelpriset i kemi.

Vid Umeå universitet är allt nära. Våra sammanhållna campus gör det lätt att mötas, samarbeta och utbyta kunskap, något som gynnar en dynamisk och öppen kultur där vi gläds åt varandras framgångar.

Kontakter

Sara-Lena Brännström

Sara-Lena Brännström

Kommunikatör, Umeå universitet

Umeå universitet

Umeå universitet är ett bredduniversitet och ett av Sveriges största lärosäten med omkring 38 000 studenter och 4 600 medarbetare. Här finns en mångfald av utbildningar av hög kvalitet och forskning inom alla vetenskapsområden samt det konstnärliga området. Umeå universitet är också platsen för den banbrytande upptäckten av gensaxen CRISPR-Cas9 – en revolution inom gentekniken som tilldelats Nobelpriset i kemi.

Universitetet kännetecknas av en internationell atmosfär och en verksamhet som vilar på akademiska kärnvärden. Våra sammanhållna campus gör det lätt att mötas, samarbeta och utbyta kunskap, något som gynnar en dynamisk och öppen kultur där vi gläds åt varandras framgångar. Umeå universitet sätter en stolthet i att erbjuda en undervisnings- och forskningsmiljö av världsklass och bidrar till ny kunskap av global betydelse där hållbarhetsmålen i Agenda 2030 utgör drivkraft och inspiration. Här finns kreativa och nytänkande forskningsmiljöer som ger goda förutsättningar att ta sig an samhällets framtidsutmaningar. Genom långsiktiga samarbeten med organisationer, näringsliv och andra lärosäten bidrar universitetet till att utveckla norra Sverige som kunskapsregion. Den samhällsomvandling och de stora investeringar som pågår i norra Sverige skapar komplexa utmaningar men också möjligheter. För Umeå universitet handlar det om att bedriva forskning om och mitt i ett samhälle i omvandling samt att fortsätta erbjuda utbildningar för regioner som behöver expandera fort och hållbart.

Campus Umeå och Konstnärligt campus ligger nära Umeås centrum och intill ett av Sveriges största och mest välrenommerade universitetssjukhus. Utbildning bedrivs även på en rad andra orter som Skellefteå, Örnsköldsvik, Lycksele och Kiruna. Vid Umeå universitet finns den högt rankade Designhögskolan, den miljöcertifierade Handelshögskolan och landets enda arkitekthögskola med konstnärlig inriktning. Här finns också Bildmuseet och Umeås science center, Curiosum. Umeå universitet är ett av Sveriges fem riksidrottsuniversitet, har ett internationellt ledande arktiskt centrum och ett centrum för samisk forskning, Várdduo, som är Sveriges enda etablerade forskningsenhet för samisk forskning och urfolksforskning.