Google App Engine (GAE) je usluga koju Google nudi u vidu takozvane PaaS (Platform as a Service) "cloud" bazirane tehnologije za razvoj i hosting web aplikacija, a sigurnosni istraživači su otkrili brojne sigurnosne propuste...
Mnogi programi iz Google App Engine palete temeljeni su na Java programskom okruženju i bez obzira na to što se sve aplikacije temeljene a ovoj usluzi izvršavaju u zaštićenom okruženju u Googleovim podatkovnim centrima, sigurnost koja bi trebala biti neupitna zapravo ne postoji. Tim iz poljske kompanije Security Explorations odradio je niz kompleksnih istraživanja i kao rezultat su ponudili više od 30 sigurnosnih propusta u Googleovom GAE okruženju. Uspjeli su, naime, zaobići sigurnosne protokole u Google App Engine a način da su "eskivirali" dopuštene JRE klase i uspjeli dobiti potpunu kontrolu nad JRE (Java Runtime Environment) što im je pak omogućilo izvršavanje malicioznog koda koji bi potencijalno mogao značiti pravu katastrofu za sve one koji inače koriste Google App Engine. Iz Security Explorations kompanije su objavili kako su otkrili 22 potpunih Java VM sigurnosnih propusta, od toga su 17 iskoristili za uspješno izvršavanje malicioznih kodova i naredbi.
Ekipa koja je radila na sigurnosnom istraživanju tvrdi kako je ovakvih sigurnosnih propusta "definitivno više od 30", ali istraživanje nisu uspjeli odraditi do kraja, jer im je Google priredio neugodno iznenađenje. Naime, čim su u Googleu postali svjesni činjenice da Security Explorations testira i analizira njihovu sigurnost suspendirali su njihov korisnički račun bez dodatnih objašnjenja! "Nažalost, ne možemo završiti naš posao zbog suspenzije našeg testnog GAE korisničkog računa, zbog čega nam je iznimno žao", rekao je Adam Gowdiak osnivač i predsjednik uprave Security Explorations. Ipak, u kompaniji vjeruju kako će Google reaktivirati njihov korisnički račun, jer je na kraju krajeva i njemu u interesu da se otkriju i "pokrpaju" sve sigurnosne rupe na Google App Engine platformi. Definitivno poprilično neugodno saznanje, ne samo za Google, nego i za brojne razvojne timove i pojedince koji diljem svijeta koriste ovu Googleovu platformu za razvoj aplikacija...
Izvor i foto The Tech Journal
