Szerző: Hlács Ferenc

2015. május 18. 11:30:00

Hét új sebezhetőség a Google App Engine-ben

Biztonsági hibákat találtak a Google App Engine-ben a Security Explorations kutatói. Miután a privát megkeresést követően a keresőóriás nem reagált a hét felfedezett sebezhetőséggel kapcsolatban, a szakértők nyilvánosságra hozták a hibákat.

A Google App Engine-ben található biztonsági résekre figyelmeztetnek a Security Explorations biztonsági szakértői. A kutatók szerint a felhős platform sebezhetőségeit kihasználva támadók kijuthatnak az első szintű biztonsági sandboxból, és potenciálisan rosszindulatú kódot futtathatnak a Google szerverein.

A lengyel biztonsági cég szerint a sérülékenységeket kihasználva a támadók érzékeny felhasználói információkhoz is hozzáférhetnek. A behatolók egy kártékony Java alkalmazás futtatásával törhetnek ki a Google ingyenesen elérhető cloud megoldásához használt sandboxából, valamint a Java sandboxból is - útközben pedig értékes adatokhoz juthatnak a biztonsági környezetekkel kapcsolatban. A sebezhetőségek mindezek mellett potenciálisan az RPC (remote procedure call) szolgáltatások elleni támadásokhoz is jó kiindulópontot biztosíthatnak.

Mi történik egy mobilappal a születése után? Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel.

A Security Explorations szakértője, Adam Gowdiak az Ars Technicának nyilatkozva elmondta, a sebezhetőségekkel kapcsolatban folytatott kutatásuk során, a Google-lel kötött megállapodásuk értelmében végig a JVM (Java Virtual Machine) rétegen belül maradtak, a gyakorlatban nem sodortak veszélybe vagy fértek hozzá felhasználói adatokhoz. Gowdiak nagyjából három héttel ezelőtt jelezte a problémát a keresőóriásnak.

A szakértő szerint egy hasonló kaliberű vállalatnak legfeljebb egy-két munkanapon belül jeleznie kellene, hogy tudomásul vette a hibát - miután azonban ez nem történt meg, a Security Explorations részleteiben is nyilvánosságra hozta a hét felfedezett sebezhetőséget, ezzel azt kockáztatva, hogy elveszíti a hibákért járó vaskos, mintegy 20 ezer dolláros vérdíjat. Ugyanakkor időközben a keresőóriás reagált a megkeresésre: a Google egyik szóvivője az esettel kapcsolatban úgy nyilatkozott, a vállalat számára ismert hibáról van szó, amelynek elhárításán már dolgoznak - méghozzá Gowdiakkal közösen. A felhasználóknak a vállalat szerint nem kell külön lépéseket tenniük.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 27. 03:22

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.