Egy neves biztonsági szakember, a Security Explorations alapítója és vezetője, Adam Gowdiak december hatodikán a közkedvelt és tekintélyes levelezési listán, a Full Disclosure-ön jelentette be, hogy a Google App Engine (GAE) platformszolgáltatásának Java-környezetében olyan sérülékenységeket tártak fel, melyek alkalmasak arra, hogy egy biztonsági vonalat, az úgynevezett homokozót (sandbox) támadók meg tudják kerülni. Méghozzá nem is kevés résről van szó: a bejelentés szerint csapatánál több mint harmincat számoltak össze.
A sokak által használt felhős szolgáltatást, a Google App Engine-t arra találták ki, hogy segítsék és támogassák a webes alkalmazások fejlesztőit. A leggyakrabban használt programnyelveket és keretrendszereket támogató PaaS-szolgáltatás (Platform as a Service) népszerű a programozók körében, és most ebben a rendszerben a Java-környezetben fedték fel a a tetszőleges kódok futtatását megkönnyítő sebezhetőségeket.
A leírás szerint a rések lehetővé teszik, hogy valaki megkerülje a JRE Classes által engedélyezett művelettiltásokat (vagyis nemcsak az engedélyezési listán szereplő akciókat hajthatják végre), és teljes hozzáférést szerezhetnek a futtatási környezethez (Java Runtime Environment – JRE). 17 esetben sikeres exploitokat készítettek a sebezhetőség tesztelésére. A rések kihasználásával a kutatók képesek voltak natív kódokat futtatni.
Ám a vizsgálatot nem tudták teljes egészében lefolytatni, mivel a Google felfüggesztette az App Engine fiókjukat. Ezért a munka még áll, ám a kutatók bíznak a cégben, akik a legtöbbször igen pozitívan állnak a biztonsági kutatók figyelmeztetéseihez, és remélik, hogy hamarosan megcsinálhatják az összes tesztjüket.