Cuando lanzó Google App Engine, desde Mountain View
hicieron especial hincapié en la seguridad que poseía esta herramienta. Sin
embargo, meses más tarde desde su lanzamiento se ha observado que existen a día
de hoy más de 30 vulnerabilidades, permitiendo evitar las sandbox existentes.
La
herramienta sirve para desarrollar aplicaciones web y alojarlas en los
servidores de Google, permitiendo ejecutar y desarrollar estas haciendo uso de
una gran cantidad de lenguajes de programación, entre ellos Java. Mencionamos
este lenguaje porque hace tiempo que se detectó una gran cantidad de
vulnerabilidades (sobre todo después de su adquisición por parte de Oracle)
provocando problemas de seguridad en los equipos que tengan instalada esta
plataforma o hagan uso de ella.
Los
más de 30 problemas encontrados en Google Apps Engine están relacionados con
fallos de Java que no se han corregido. Haciendo uso de estas vulnerabilidades
se puede ganar acceso total al entorno de ejecución JRE. De las más de 30
descubiertas, 22 pertenecen a la máquina virtual de Java y a sus sandbox,
siendo capaces de explotar de forma satisfactoria un total de 17.
Google
ha suspendido la cuenta que utilizaban
- Ya sabemos que los de Mountain View son peculiares a la hora de tratar problemas de seguridad y esta no ha sido una excepción. Mientras desarrollaban las pruebas de las vulnerabilidades su cuenta en la herramienta de desarrollo fue suspendida, evitando que las investigaciones prosperasen. Sin embargo, el grupo de desarrolladores cree que Google será comprensible y que los permitirá de nuevo retomar la actividad con su cuenta y finalizar el estudio, ya que el beneficio sería mutuo, puesto que Google Apps Engine podría poner fin a estos problemas.
