Java is een van de meestgebruikte programmeertalen. Volgens onderzoek onder aanvoering van Alexandre Bartel van de Umeå-universiteit (Zwe) bevat die objectgeriënteerde taal een aantal kwetsbaarheden die kwaadwilligen kunnen misbruiken. “Het gaat om fouten in processen om informatie op te vragen of te verwerken”, zegt Bartel. “Die kunnen bedrijven, organisaties en overheden opzadelen met aanzienlijke kosten.”
Java in spellen, gebruikt, in robotica en zakelijke toepassingen, maar lang niet alleen daar. Al eerder ontdekten onderzoekers kwetsbaarheden in het systeem. Deze keer keken Bartel en zijn collega’s wat daarmee gedaan is. Ze hebben gekeken naar Java-producten die gebruik maken van wat deserialisering genoemd wordt, het proces waarbij informatie in de oude staat wordt hersteld, zoals gebruikersinstellingen, spelfuncties, winkelwagentjes of banktoepassingen e.d.
Bartel: “Het probleem is dat programmeurs steeds weer dezelfde fouten lijken te maken, waardoor ze de kwetsbaarheden er steeds weer inbrengen.” Zo zouden fouten in gevoelige toepassingen van betaaldienst Paypal onbevoegden toegang hebben gegeven tot productiedatabanken. Via die kwetsbaarheden slaagden aanvallers er in toegang te krijgen tot computers van de vervoersafdeling van San Fancisisco en om het betalingssysteem te blokkeren.

De onderzoekers ontdekten dat door die kwetsbaarheden de aanvallers tijdens het deserialiseringsproces het ontvangende systeem konden overnemen. “Zelfs kleine codeveranderingen kunnen systemen kwetsbaar maken”, zegt de onderzoeker.

Extern

De meeste Javaprogramma’s zijn afhankelijk van externe bibliotheken en dus is het niet eenvoudig die kwetsbaarheden te repareren of te voorkomen. Bartel stelt dat om te voorkomen dat die kwetsbaarheden in nieuwe code terechtkomen het verstandig is om die deserialisering niet meer te gebruiken. Bartel: “De hele keten van de ontwikkelde toepassing zou danig moeten worden doorgelicht door een levenscyclusanalyse. De gevonden kwetsbaarheden zijn ernstig en kunnen veel geld kosten; niet alleen voor de bedrijven maar ook voor de hele maatschappij.”

De onderzoekers zijn nu bezig om methoden te ontwikkelen om dergelijke kwetsbaarheden efficiënter te ontdekken. Dit onderzoek schijnt overigens een lange aanloop te hebben gehad en in februari vorig jaar te zijn gepubliceerd. In mei werd het verhaal voorgedragen op een programmatuurcongres in Melbourne (Aus).

Bron: idw-online.de