ウメ大学のソフトウェア エンジニアリングとセキュリティの教授である Alexandre Bartel は、数人のヨーロッパの研究者と協力して、世界で最も広く使用されているプログラミング言語の 1 つで書かれたソフトウェアの弱点を広範囲に分析しました。

「これには、顧客アカウント、取引、患者記録などの情報を取得および再作成するプロセスの欠陥が関係しています。これらの脆弱性により、企業、政府、公的機関に多大なコストが発生する可能性があります。」

Java は、以下で使用されるアプリケーションの背後にあります。モバイルゲーム、ロボット、組み込みシステム、またはビジネスアプリケーション。長年にわたり、いくつかのセキュリティ上の欠陥が報告されており、現在ヨーロッパの研究者がこれらに対処したかどうか、またどのように対処したかを調査しています。

彼らは、ユーザー設定、ゲーム機能、ショッピング カート、銀行アプリケーションなどのパッケージ化された情報を以前の状態に復元するプロセスであるデシリアライゼーションを使用する Java 製品を調査し、既存の脆弱性と攻撃の詳細な分析を実行しました。

大企業も影響を受ける

「私たちは弱点とその対処方法を特定しました。問題は、プログラマーが同じ間違いを何度も繰り返し、そのために脆弱性を再び持ち込んでいるように見えることです」とバーテル教授は言う。

パーダーボルン大学教授のエリック・ボッデン氏、ルクセンブルク大学教授のイヴ・ル・トラオン氏、およびイメン・サイヤー氏と共同で実施された研究「Java デシリアライゼーションのリモートコード実行エクスプロイトと脆弱性に関する詳細な調査」では、次のように述べています。現在 INRIA の研究者である彼は、いくつかの例を示します。

• PayPal の重要なアプリケーションの欠陥により、本番データベースへのアクセスが可能になった
• サンフランシスコ運輸省の脆弱性 - 攻撃者は 2,000 台のコンピュータを制御し、決済システムをブロックした
• 米国最大の信用調査機関である Equifax が攻撃を受け、攻撃者は 1 億 4,770 万件の個人データを盗むことに成功しました。

ヨーロッパの研究者たちが観察しているのは、バイトの流れ、つまり情報の流れが攻撃者による改ざんの余地があるということです。「攻撃者が受信システムを完全に制御できるのは、情報が再作成される実際の逆シリアル化プロセス中です。コードの非常に小さな変更でも、システムが攻撃に対して脆弱になる可能性があります」と Alexandre Bartel 氏は言います。

重大な欠陥

ほとんどの Java プログラムは外部ライブラリに依存しており、影響を受けるシステムを修正する簡単な方法はありません。アレクサンドル・バルテルは、それを防ぐには次のように主張するセキュリティ上の欠陥新しいコードに導入されないように、開発者は Java デシリアライゼーションの使用を完全に避ける必要があります。

「私たちの調査結果は、開発されたアプリケーションのサプライチェーン全体を、アプリケーションのライフサイクル全体にわたって徹底的に検証する必要があることを示唆しています。企業だけでなく社会全体にとってもコストがかかる可能性があるため、この調査結果は非常に深刻です」とアレクサンドル氏は述べています。バーテル。

この研究はかなりの関心を集めており、高く評価され厳選された Transactions on Software Engineering and Methodology ジャーナルに掲載されました。トーセム、コンピュータ機械協会の、ACM。調査結果は次の場所でも発表されました。ICSE、ソフトウェア エンジニアリングに関する国際会議は、この分野で最も権威のある会議の 1 つです。

Bartel 氏と彼の研究グループは現在、これらの脆弱性をより効率的に検出し、攻撃を防ぐ方法を開発中です。

シリアル化と逆シリアル化

でのプロセスコンピュータサイエンスこれには、データ構造またはオブジェクトの状態を、別のコンピューティング環境に保存または転送できる形式で保存することが含まれます。これには、データ構造をバイトのストリームに「変換」して、たとえばメモリやファイルへの保存、または別のマシンへのデータ転送時の保存を容易にすることが含まれます。

例としては、サプライ チェーン全体で追跡できるように、政府がパッケージのコード化を要求している製薬システムがあります。ゲーム開発: プレーヤーの進行状況、設定、保存されたゲームなどのゲーム データを保存およびロードします。金融部門: データの保存と送信金融取引銀行と他の金融システムの間で。