这个简单的漏洞可以让你篡改谷歌搜索结果

下一篇文章

Facebook 有了新头衔:无法卸载的垃圾应用

谷歌存在一个漏洞,任何人都可以利用它轻松篡改搜索结果并使之看上去像是真的。

这个篡改搜索结果的漏洞是由驻伦敦的安全专家维策·贝凯玛(Wietze Beukema)上报的,他警告说,心怀叵测的人可以利用该漏洞来生成错误信息。

这个漏洞就是,我们可以在谷歌搜索结果页面的网址后面嫁接谷歌知识图谱的网址——知识图谱是在搜索结果中自动弹出的卡片,用图像和事实对搜索结果提供补充说明。当我们搜索国家行星科技新闻网站等条目时,谷歌都会在搜索结果的右侧弹出知识图谱卡片,用以显示关于搜索条目的信息。

贝凯玛在一篇博客文章中解释说,我们可以剪切知识图谱卡片可供分享的短网址,然后粘贴到其他搜索条目结果页面网址的后面。

所以,当你搜索:“英国的首都在哪里” 时(https://www.google.com/search?q=what+is+the+capital+of+Britain),你会期待谷歌返回 “伦敦” 这个结果,但实际上,我们可以在结果页面后面粘贴其他条目知识图谱的网址——比如 “火星”(&kgmid=/m/09cws&kponly)。点击这里看看结果吧。

如果你搜索 “美国总统是谁?”,我们也能利用这个漏洞篡改结果,比如把返回的结果改成 Snoop Dogg。

篡改后的页面网址仍然显示是 HTTPS 连接,所以任何人都可以生成一个这样网址,把它粘贴到电子邮件里,发布到 Twitter 上,或是在 Facebook 中进行分享,想来看到网址的人不会产生怀疑。但在互联网公司公信力被假新闻事件削弱的当下,这可能成为一个真正的问题。

贝凯玛警告说,这个篡改搜索结果的漏洞可能被用来传播失实信息,甚至是进行政治宣传。

谁是 9/11 事件的罪魁祸首?”,搜索结果经篡改可以指向乔治·布什(George Bush),这是一种被广泛传播的阴谋论。“巴拉克·奥巴马(Barack Obama)的出生地在哪里?” 搜索结果经篡改可以指向肯尼亚,这在很大程度上是由唐纳德·特朗普(Donald Trump)宣扬的另一种阴谋论,他后来又收回了自己的话。

甚至于,“我应该投票给哪个党派?” 我们也可以篡改搜索结果指向 “共和党” 或 “民主党”。

如果人们知道自己只要点击一下按钮,搜索引擎就会告诉他们该给谁投票,那么有如此多的人认为美国大选是被人幕后操纵的,这也就不足为奇了。

贝凯玛告诉 TechCrunch,任何人都可以 “生成看似正常的谷歌网址链接来给有争议的话题下结论”,而这 “要么不利于谷歌的形象,要么更糟糕的是,让人们信以为真”。

贝凯玛表示,他在 2017 年 12 月首次向谷歌报告了该漏洞,但谷歌没有采取任何行动就关闭了工单。

“我描述的 ‘攻击’ 依赖于人们对谷歌的信任以及它所呈现的事实。” 贝凯玛如是说。

截至本文发稿时,这个漏洞依旧存在。事实上,差不多在 3 年前,就已经有人发现这个漏洞了,贝凯玛只不过是在一年前知道这件事情后给曝光了出来。而且,该漏洞已经引起了黑客社区的兴趣。一位名叫卢卡斯·米勒(Lucas Miller)的开发人员只花了几小时就写出了一个 Python 脚本,用以自动化生成基于搜索条目的虚假结果。

有人指责谷歌存在政治偏见,尽管没有证据证实这件事,但在这种背景下,该公司过了这么长时间都还没有解决自己搜索结果中一个能够进一步削弱其公信力的基本漏洞,这着实令人费解。

谷歌的一位发言人告诉 TechCrunch,他们正在 “努力解决” 这个问题。

题图来自:TechCrunch

翻译:王灿均(@何无鱼

A simple bug makes it easy to spoof Google search results into spreading misinformation