Η Security Explorations, μια εταιρεία ασφαλείας με έδρα την Πολωνία, στις 15 Μαΐου αποκάλυψε τεχνικές λεπτομέρειες και Proof of Concept (PoC) codes για μη επιβεβαιωμένες και μη επιδιορθωμένες ευπάθειες στο Google App Engine για Java.
Τον Οκτώβριο του 2012, η επιχείρηση άρχισε την έρευνά της για το Google App Engine για Java, εντούτοις δεν μπόρεσε να την συνεχίσει. Κατόπιν, τον Οκτώβριο του 2014, επανέλαβε το project.
Η επιχείρηση επιβεβαίωσε περισσότερες από 30 ευπάθειες το Δεκέμβριο.
Σύμφωνα με μια έκθεση που δημοσιεύθηκε στο SecurityWeek, είχε προσδιορίσει και είχε εκθέσει συνολικά 41 issues στη σχετική αρχή, αλλά το Google ανέφερε ότι είχε επιδιορθώσει εσωτερικά εκείνα τα ελαττώματα.
«Αυτό δεν είναι καλό σημάδι για τους Google GAE engineers και για τα Java security skills τους ιδιαιτέρως,» δήλωσε ο Adam Gowdiak, ιδρυτής και CEO της εταιρείας Security Explorations.
Μέχρι σήμερα, η Google έχει επιβεβαιώσει συνολικά 36 ευπάθειες. Εντούτοις, η εταιρεία Security Explorations επιβεβαίωσε ότι μερικές ακόμη έχουν αφεθεί χωρίς να επιδιορθωθούν.
Παρόλο αυτά, στα μέσα Μαρτίου η Security Exploration αποκάλυψε 31 ελαττώματα, τα οποία τελευταία επιδιορθώθηκαν από την Google, ο Gowdiak, έγραψε σε ένα mail του ότι υπάρχουν ακόμη επτά διαφορετικές ευπάθειες υπάρχουν στην υπηρεσία της Google, και για τις οποίες ανέφερε εν συντομία στο μήνυμά του.
Είπε ότι τα flaws έχουν αναφερθεί στην Google τρεις εβδομάδες πριν. Εντούτοις, δεν έχει λάβει επιβεβαίωση από τους Google officials. Ούτε, η σχετική αρχή έχει αναφέρει αν έχει επιδιορθώσει κάποια από αυτά.
«Έχουν περάσει τρεις εβδομάδες και δεν έχουμε ακούσει οποιαδήποτε επίσημη επιβεβαίωση ή η άρνηση από την Google όσον αφορά τα ζητήματα 37-41,» ο Gowdiak έγραψε. «Δεν πρέπει να πάρει περισσότερο από 1-2 εργάσιμες ημέρες για έναν σημαντικό προμηθευτή λογισμικού για να τρέξει το λαμβανόμενο POC, να διαβάσει την έκθεσή μας ή/ και να συμβουλευθεί τον source code.»
Πρόσθεσε ότι είναι εύκολο να εκμεταλλευθούν τα ελαττώματα από τους επιτιθεμένους. Θα μπορούσαν να χρησιμοποιήσουν την ελεύθερα διαθέσιμη cloud platform για να τρέξουν μια κακόβουλη εφαρμογή Java.
Οι χάκερ θα μπορούσαν να χρησιμοποιήσουν το περιορισμένο περιβάλλον για να επιτεθούν στα lower-level assets και να ανακτήσουν ευαίσθητες πληροφορίες από τους servers της Google.
