La firma Security Explorations reveló vulnerabilidades encontradas en Google App Engine for Java. La publicación incluyó detalles técnicos y códigos de pruebas de concepto (PoC) para problemas de seguridad encontrados por la firma con sede en Polonia.
Es política de Security Explorations revelar inmediatamente los fallos de seguridad descubiertos cuando el fabricante del software afectado no los confirma o niega, o inclusive cuando los repara de forma silenciosa.
Por el reporte de las vulnerabilidades Google recompensó a Security Explorations con 70 mil USD, de los cuales solamente ha pagado 50 mil USD. Security Explorations estima que al hacer públicos los fallos de seguridad Google ya no pagará los 20 mil USD restantes. Sin embargo dice que las recompensas de Google no deben influenciar el manejo o divulgación de vulnerabilidades producto de una investigación de seguridad.
En diciembre la compañía de seguridad confirmó más de 30 vulnerabilidades. Google ha dicho que han sido corregidas 36. Sin embargo, Adam Gowdiak, fundador y CEO de Security Explorations, dijo que aún existen siete fallos de seguridad sin parche en el servicio de Google.
Los fallos fueron reportados a Google hace unas tres semanas sin que haya noticia de su corrección. Para Gowdiak uno o dos días son suficientes para que Google pueda ejecutar la PoC, leer el reporte y/o consultar el código fuente.
Las vulnerabilidades no corregidas podrían ser utilizadas para evadir la capa sandboxing de seguridad y ejecutar código en el entorno nativo altamente restringido. El atacante podría utilizar la plataforma en la nube libremente para ejecutar una aplicación Java maliciosa y usar el entorno restringido para atacar activos de menor nivel y recuperar información sensible de los servidores de Google.