Hét új sebezhetőség a Google App Engine-ben

A Google App Engine-ben található biztonsági résekre figyelmeztetnek a Security Explorations biztonsági szakértői. A kutatók szerint a felhős platform sebezhetőségeit kihasználva támadók kijuthatnak az első szintű biztonsági sandboxból, és potenciálisan rosszindulatú kódot futtathatnak a Google szerverein.

A lengyel biztonsági cég szerint a sérülékenységeket kihasználva a támadók érzékeny felhasználói információkhoz is hozzáférhetnek. A behatolók egy kártékony Java alkalmazás futtatásával törhetnek ki a Google ingyenesen elérhető cloud megoldásához használt sandboxából, valamint a Java sandboxból is - útközben pedig értékes adatokhoz juthatnak a biztonsági környezetekkel kapcsolatban. A sebezhetőségek mindezek mellett potenciálisan az RPC (remote procedure call) szolgáltatások elleni támadásokhoz is jó kiindulópontot biztosíthatnak.

A Security Explorations szakértője, Adam Gowdiak az Ars Technicának nyilatkozva elmondta, a sebezhetőségekkel kapcsolatban folytatott kutatásuk során, a Google-lel kötött megállapodásuk értelmében végig a JVM (Java Virtual Machine) rétegen belül maradtak, a gyakorlatban nem sodortak veszélybe vagy fértek hozzá felhasználói adatokhoz. Gowdiak nagyjából három héttel ezelőtt jelezte a problémát a keresőóriásnak.

A szakértő szerint egy hasonló kaliberű vállalatnak legfeljebb egy-két munkanapon belül jeleznie kellene, hogy tudomásul vette a hibát - miután azonban ez nem történt meg, a Security Explorations részleteiben is nyilvánosságra hozta a hét felfedezett sebezhetőséget, ezzel azt kockáztatva, hogy elveszíti a hibákért járó vaskos, mintegy 20 ezer dolláros vérdíjat. Ugyanakkor időközben a keresőóriás reagált a megkeresésre: a Google egyik szóvivője az esettel kapcsolatban úgy nyilatkozott, a vállalat számára ismert hibáról van szó, amelynek elhárításán már dolgoznak - méghozzá Gowdiakkal közösen. A felhasználóknak a vállalat szerint nem kell külön lépéseket tenniük.