SIKKERHETSBRISTER: Google Java-sandkasse er ikke trygg, hevder sikkerhetseksperter.

Sikkerhetsbrist i Googles app-verktøy

Googles Java-sandkasse er kanskje ikke så trygg likevel.

Publisert onsdag 10. desember 2014 - 08:50 Sist oppdatert onsdag 10. desember 2014 - 09:04

Polske sikkerhetseksperter sier de har funnet mer enn 30 forskjellige sikkerhetssvakheter i Google App Engine (GAE).

Dette er en skytjeneste som brukes til å utvikle og være vertskap for nettapplikasjoner.

Google gransker nå materialet som de polske sikkerhetsekspertene har oversendt til selskapet.

Blant problemene som sikkerhetsekspertene har oppdaget, er at en angriper vil kunne benytte sikkerhets-sandkassen knyttet til Java Virtual Machine for å bane seg vei til underliggende deler av systemet og aktivere ondsinnet kode der.

Det er det polske firmaet Security Explorations som står bak sikkerhetstestingen av Google App Engine. Selskapet har de siste årene oppdaget og varslet om mange sikkerhetsbrister i Java.

– Flere av våre oppdagelser er ikke bekreftet ennå, men vi regner med at vi har funnet mer enn 30 sikkerhetsbrister, sier Adam Gowdiak, gründeren som står bak det polske sikkerhetsfirmaet.

I øyeblikket er selskapets testkonto hos Google App Engine stengt, så firmaet får ikke jobbet videre med å verifisere sine mistanker.

Agressive tester

Årsaken til at kontoen er stengt, er trolig at den er blitt brukt til ganske aggressive tester mot Google.

Google App Engine brukes til å utvikle webapplikasjoner i Python, Java, Go, PHP og en rekke andre utviklingsrammeverk knyttet til disse programmeringsspråkene.

De polske sikkerhetsekspertene har bare gransket plattformens Java-implementering.

Google selv oppfordrer til granskning med tanke på å få avdekket sikkerhetsproblemer og har opprettet et eget program, Google Vulnerability Reward Program, der det lokkes med belønning på opptil 20.000 dollar til dem som greier å avdekke sikkerhetsbrister i Googles løsninger.

Det er imidlertid uklart om det polske sikkerhetsfirmaet kvalifiserer for deltakelse i dette programmet, ettersom man ikke hadde varslet Google på forhånd før testresultatene ble offentliggjort.

Google krever også at man ikke må forstyrre eller stanse noen av Googles tjenester i arbeidet med å finne eventuelle sikkerhetsbrister.

pcworld

Sikkerhetsbrist i Googles app-verktøy

Googles Java-sandkasse er kanskje ikke så trygg likevel.

Agressive tester

Statens vegvesen vil bli mer datadrevet

Skal gi bedre oversikt over sikkerhet i skyen

Vi trenger referansekvinnen

Microsoft tester annonser i Start-menyen til Windows 11

Tar fram pisken om nødvendig

Leveringsplikt for alle – hvis det trengs

Tietoevry: Næringslivet skriker etter it-jenter

Mistral AI lanserer kraftig åpen kildekode-modell

Forventning til ny helseminister: God forskning på helsedata gir god helsepolitikk

Nordmenn nordiske storeiere av kryptovaluta

Nederlandsk produsent av databrikker hacket i mars

En dårlig tid for å duppe av på vakt

Vinner Putin krigen, og hvordan påvirker dette oss geopolitisk?

Ville du tippet lotto om du visste vinnertallene?

Xledger posisjonerer seg for skyvekst

– Politikerne tenker feil om teknologi

Ikke nok strøm for AWS i Irland

Nordic Semiconductor endrer og styrker ledelsen

Netonnet satser med ny butikk i Stavanger

Tung: Oppfordrer alle bedrifter til å utnytte EU

Kundefokus trumfer cybersikkerhet

Bra med bransjeprogram, men ønsker mer

Lanserer digital loggbok for løfteinnretninger