波蘭安全咨詢與研究機(jī)構(gòu)Security Explorations公司研究人員Adam Gowdiak宣稱，其在Google App Engine當(dāng)中發(fā)現(xiàn)大量安全漏洞。

Gowdiak指出，他和他的同事“在Google App Engine當(dāng)中發(fā)現(xiàn)一系列安全問題，并可能導(dǎo)致Java VM安全沙箱環(huán)境變得形同虛設(shè)。”

下面一起來看Gowdiak就這一問題作出的具體闡述：

我們繞過了JRE類的GAE白名單/徹底避開了JavaVM安全沙箱機(jī)制(全部17種沙箱機(jī)制全部淪陷，PoC代碼總計(jì)利用22種安全漏洞)。

我們實(shí)現(xiàn)了本地代碼執(zhí)行(即實(shí)現(xiàn)對(duì)任意庫/系統(tǒng)之調(diào)用)。

我們獲得了對(duì)構(gòu)成JRE沙箱之文件(二進(jìn)制/類)的訪問權(quán)，其中包括最大的libjavaruntime.so二進(jìn)制文件(總計(jì)468416808字節(jié))。

我們從二進(jìn)制文件中提取到了DWAR信息(即類型信息等)。

我們從Java類中提取到PROTOBUF定義(來自542個(gè).proto文件，共涉及57項(xiàng)服務(wù))。

我們從二進(jìn)制文件中提取到PROTOBUF定義(來自68個(gè).proto文件，共涉及8項(xiàng)服務(wù))。

我們對(duì)以上內(nèi)容進(jìn)行了分析，并掌握了大量與Java沙箱(及其它)相關(guān)的GAE環(huán)境信息。

Gowdiak表示“仍有很多問題需要進(jìn)一步驗(yàn)證——我們估計(jì)安全漏洞總數(shù)將達(dá)到30個(gè)以上。”

Gowdiak目前的探索道路已經(jīng)陷入停滯，因?yàn)楣雀璺矫骊P(guān)閉了他的賬戶。沒有任何跡象表明谷歌是出于惡意或者刻意阻撓該公司的努力：Gowdiak表示他的研究可能看起來像是對(duì)谷歌的一種攻擊行為。

“考慮到我們對(duì)于Google Apps Engine Java安全沙箱問題的探索屬于學(xué)習(xí)性質(zhì)，而且看起來谷歌方面應(yīng)該是對(duì)各類圍繞沙箱展開的規(guī)避性探索與安全研究嘗試持鼓勵(lì)態(tài)度，因此我們希望該公司能夠允許我們繼續(xù)完成自己的工作，”他總結(jié)道。