Security Explorations zarobiło na błędach Google
50 tysięcy dolarów zarobiło polskie Security Explorations na odkryciu błędów bezpieczeństwa w Google App Engine. To najwyższa nagroda przyznana jak do tej pory w ramach programu Google Vulnerability Reward. Polacy odkryli i potwierdzili 21 błędów, w tym kilka sposobów na ucieczkę z sandboksa Java VM funkcjonującego w Google App Engine. Wstępna publikacja pojawiła się na początku grudnia, po zawieszeniu przez Google konta używanego przez Security Explorations do testów.
Polskiej grupie udało się jednak otrzymać zgodę Google na kontynuowania testów – pod warunkiem, że nie będą opuszczać wirtualnej maszyny Javy i nie będą badać sandboksa systemu operacyjnego – dzięki czemu mogła dokończyć pracę i zweryfikować istnienie i działanie błędów.
Odnalezione dziury mogły być wykorzystane do zebrania informacji na temat zbudowanego przez Google środowiska maszyny wirtualnej Javy, a także wewnętrznych usług oraz wykorzystywanych przez giganta protokołów.
Security Explorations zadeklarowało, że wykorzysta nagrodę do sfinansowania oraz ulepszenia swoich niekomercyjnych badań nad bezpieczeństwem.
Szczegółowy opis działań oraz współpracy z Google oraz Oracle można znaleźć w tym miejscu.
