В облачной платформе Google нашли десятки уязвимостей

Компанией Security Explorations из Польши выявлено более тридцати уязвимостей в облачной платформе Google App Engine (GAE). Она дает своим клиентам возможность арендовать серверы Google для того, чтобы разрабатывать и запускать собственные веб-приложения.

 

По словам руководителя и основателя Security Explorations Адама Говдяка (Adam Gowdiak), выявленные уязвимости позволяют оставить «песочницу», то есть изолированную среду, виртуальной машины Java, внутри которой производится запуск приложений, и исполнить произвольный код в среде, у которой более низкий уровень. 

 

При этом Говдяк не конкретизировал, в какой степени представляют опасность эти уязвимости. Он также не остановился на технических деталях, а предпочел, прежде всего, уведомить непосредственно Google.

 

 

После того как исследователями была покинута «песочница» виртуальной машины Java, ими была получена возможность не только запустить произвольный код на более низком уровне, но и получить доступ к системным файлам виртуальной машины.

 

Эксперты начали изучать способы, как можно выйти из «песочницы» операционной системы, то есть еще на уровень ниже. Однако ничего из этой задумки не получилось. Корпорациия Google заблокировала их аккаунт. По мнению А. Говдяка, Google, наверное, посчитала, что их активность подозрительна, а потому и заблокировала доступ.

 

У аналитиков тем не менее была возможность изучить технологию изоляции среды Java, как и многих внутренних механизмов и протоколов платформы Google App Engine. Было изучено множество инструментов. В результате удалось много узнать о среде. 

 

А. Говдяк с сожалением говорит о том, что исследование они не смогли завершить. Причина в том, что их тестовый аккаунт заблокировали. Правда, теперь Google изучает результаты, которые получили аналитики.

 

Кроме Java, платформа GAE осуществляет поддержку приложения, которые написаны на Python, PHP и Go. Говдяк подчеркнул, что исследование имело отношение только к виртуальной машине Java. Вот почему фактическое количество уязвимостей, которые содержатся в платформе, может быть намного больше.

 

Правила программы Google Vulnerability Reward таковы, что компания Security Explorations может рассчитывать на приз в размере 20 тысяч долларов США. Эта сумма предназначается тому, кто взломает GAE и выполнит удаленно произвольный код. Впрочем, Говдяк сказал, что изначально цели получить эту награду никто не ставил.

 

Напоминаем, что Google App Engine запустили в 2008 году. Это продукт вида «платформа как услуга» (Platform as a Service — PaaS). Есть конкурирующие на рынке решения. Это Amazon Elastic Compute Cloud (Amazon EC2) и Microsoft Azure.