這個簡單的漏洞可以讓你篡改谷歌搜索結果

收藏待读

這個簡單的漏洞可以讓你篡改谷歌搜索結果

這個簡單的漏洞可以讓你篡改谷歌搜索結果

谷歌存在一個漏洞,任何人都可以利用它輕鬆篡改搜索結果並使之看上去像是真的。

這個篡改搜索結果的漏洞是由駐倫敦的安全專家維策·貝凱瑪(Wietze Beukema)上報的,他警告說,心懷叵測的人可以利用該漏洞來生成錯誤信息。

這個漏洞就是,我們可以在谷歌搜索結果頁面的網址後面嫁接谷歌知識圖譜的網址——知識圖譜是在搜索結果中自動彈出的卡片,用圖像和事實對搜索結果提供補充說明。當我們搜索 國家行星科技新聞網站 等條目時,谷歌都會在搜索結果的右側彈出知識圖譜卡片,用以顯示關於搜索條目的信息。

貝凱瑪在一篇 博客文章 中解釋說,我們可以剪切知識圖譜卡片可供分享的短網址,然後粘貼到其他搜索條目結果頁面網址的後面。

所以,當你搜索:「英國的首都在哪裡」時(https://www.google.com/search?q=what+is+the+capital+of+Britain),你會期待谷歌返回「倫敦」這個結果,但實際上,我們可以在結果頁面後面粘貼其他條目知識圖譜的網址——比如「火星」(&kgmid=/m/09cws&kponly)。 點擊這裡 看看結果吧。

如果你搜索「美國總統是誰?」,我們也能利用這個漏洞 篡改結果 ,比如把返回的結果改成 Snoop Dogg。

這個簡單的漏洞可以讓你篡改谷歌搜索結果

篡改後的頁面網址仍然顯示是 HTTPS 連接,所以任何人都可以生成一個這樣網址,把它粘貼到電子郵件里,發佈到 Twitter 上,或是在 Facebook 中進行分享,想來看到網址的人不會產生懷疑。但在互聯網公司 公信力被假新聞事件削弱 的當下,這可能成為一個真正的問題。

貝凱瑪警告說,這個篡改搜索結果的漏洞可能被用來傳播失實信息,甚至是進行政治宣傳。

誰是 9/11 事件的罪魁禍首 ?」,搜索結果經篡改可以指向喬治·布殊(George Bush),這是一種被廣泛傳播的陰謀論。「 巴拉克·奧巴馬(Barack Obama)的出生地在哪裡 ?」搜索結果經篡改可以指向肯雅,這在很大程度上是由唐納德·特朗普(Donald Trump)宣揚的另一種陰謀論,他後來又收回了自己的話。

甚至於,「我應該投票給哪個黨派?」我們也可以篡改搜索結果指向「 共和黨 」或「 民主黨 」。

如果人們知道自己只要點擊一下按鈕,搜索引擎就會告訴他們該給誰投票,那麼有如此多的人認為美國大選是被人幕後操縱的,這也就不足為奇了。

貝凱瑪告訴 TechCrunch,任何人都可以「生成看似正常的谷歌網址鏈接來給有爭議的話題下結論」,而這「要麼不利於谷歌的形象,要麼更糟糕的是,讓人們信以為真」。

貝凱瑪表示,他在 2017 年 12 月首次向谷歌報告了該漏洞,但谷歌沒有採取任何行動就關閉了工單。

「我描述的『攻擊』依賴於人們對谷歌的信任以及它所呈現的事實。」貝凱瑪如是說。

截至本文發稿時,這個漏洞依舊存在。事實上,差不多在 3 年前,就已經有人 發現 這個漏洞了,貝凱瑪只不過是在一年前知道這件事情後給曝光了出來。而且,該漏洞已經引起了黑客社區的興趣。一位名叫盧卡斯·米勒(Lucas Miller)的開發人員只花了幾小時就寫出了一個 Python 腳本 ,用以自動化生成基於搜索條目的虛假結果。

有人指責谷歌存在政治偏見,儘管沒有證據證實這件事,但在這種背景下,該公司過了這麼長時間都還沒有解決自己搜索結果中一個能夠進一步削弱其公信力的基本漏洞,這着實令人費解。

谷歌的一位發言人告訴 TechCrunch,他們正在「努力解決」這個問題。

題圖來自:TechCrunch

翻譯:王燦均( @何無魚

A simple bug makes it easy to spoof Google search results into spreading misinformation

原文 : TechCrunch中國

相關閱讀

免责声明:本文内容来源于TechCrunch中國,已注明原文出处和链接,文章观点不代表立场,如若侵犯到您的权益,或涉不实谣言,敬请向我们提出检举。