波蘭安全咨詢與研究機構(gòu)Security Explorations公司研究人員Adam Gowdiak宣稱，其在Google App Engine當中發(fā)現(xiàn)大量安全漏洞。

Gowdiak指出，他和他的同事“在Google App Engine當中發(fā)現(xiàn)一系列安全問題，并可能導(dǎo)致Java VM安全沙箱環(huán)境變得形同虛設(shè)。”

下面一起來看Gowdiak就這一問題作出的具體闡述：

我們繞過了JRE類的GAE白名單/徹底避開了JavaVM安全沙箱機制(全部17種沙箱機制全部淪陷，PoC代碼總計利用22種安全漏洞)。

我們實現(xiàn)了本地代碼執(zhí)行(即實現(xiàn)對任意庫/系統(tǒng)之調(diào)用)。

我們獲得了對構(gòu)成JRE沙箱之文件(二進制/類)的訪問權(quán)，其中包括最大的libjavaruntime.so二進制文件(總計468416808字節(jié))。

我們從二進制文件中提取到了DWAR信息(即類型信息等)。

我們從Java類中提取到PROTOBUF定義(來自542個.proto文件，共涉及57項服務(wù))。

我們從二進制文件中提取到PROTOBUF定義(來自68個.proto文件，共涉及8項服務(wù))。

我們對以上內(nèi)容進行了分析，并掌握了大量與Java沙箱(及其它)相關(guān)的GAE環(huán)境信息。

Gowdiak表示“仍有很多問題需要進一步驗證——我們估計安全漏洞總數(shù)將達到30個以上。”

Gowdiak目前的探索道路已經(jīng)陷入停滯，因為谷歌方面關(guān)閉了他的賬戶。沒有任何跡象表明谷歌是出于惡意或者刻意阻撓該公司的努力：Gowdiak表示他的研究可能看起來像是對谷歌的一種攻擊行為。

“考慮到我們對于Google Apps Engine Java安全沙箱問題的探索屬于學習性質(zhì)，而且看起來谷歌方面應(yīng)該是對各類圍繞沙箱展開的規(guī)避性探索與安全研究嘗試持鼓勵態(tài)度，因此我們希望該公司能夠允許我們繼續(xù)完成自己的工作，”他總結(jié)道。