Подмена поисковой выдачи Google

https://wietzebeukema.nl/blog/spoofing-google-search-results
  • Перевод

 
Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть довольно серьезными.


Простое добавление параметров в uri позволяет подменить т.н. Knowledge Graph при формировании поисковой выдачи по запросу.


Knowledge Graph — семантическая технология и база знаний, используемая Google для повышения качества своей поисковой системы с семантическо-розыскной информацией, собранной из различных источников. Граф знаний предоставляет структурированную и подробную информацию о теме в дополнение к списку ссылок на другие сайты.
 



 
Цель состоит в том, чтобы пользователи могли использовать эту информацию для решения своих запросов без необходимости перехода на другие сайты и сбора информации самостоятельно.


При формировании графа можно поделиться его результатами в виде short-URL, который содержит параметр kgmid, отвечающий за отображение Knowledge Graph, а также параметр kponly, отвечающий за приоритет Knowledge Graph.



 
После перехода по short-URL ссылка трансформируется, и можно получить необходимый параметр kgmid:



 
Далее полученный параметр можно использовать для формирования поддельной выдачи:
https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly


Для маскировки uri можно воспользоваться goo.gl: https://goo.gl/5FK7Na


Данные манипуляции могут быть использованы злоумышленниками для создания недостоверной информации, поддельных новостей, вбросов и т.д.



 



 



 
UPD: 11.01.2019 уязвимость закрыта.

Инфосистемы Джет
207,00
Компания
Поделиться публикацией

Комментарии 22

    +4
    неужели так просто? прям не верится.
      +6
        +5
        Google will finally be working to fix a bug in its search engine that allowed results to be spoofed
        Пофиксят, в будущем времени.
          +3
          У меня не завелось и я стал гуглить причину. Прочитав об их планах и сравнив со своей реальностью, я сделал вывод, что будущее уже наступило.
            +1
            Увы, но вы живете в прошлом.
          0
          Уже пофиксили, по ссылке
          https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly торты, по ссылке
          https://www.google.com/search?q=борщ&kgmid=/m/07s4h8h&kponly борщи
            0
            Не работает.
            www.google.com/search?q=testB&kgmid=/m/0225tg&kponly
            поисковая выдача отсутсвует
              +14
              «ыксперт обнаружил уязвимость»… С самого появления kgraph этой фишкой все пользовались по приколу, вон я это еще в 2013 году описал.
                +2
                Разве не именно это делает его экспертом по информационной безопасности? Оказывается, действительно, некоторые знали об этой «фишке», но только он заметил в этом уязвимость позволяющая генерировать фишинговые результаты. И только благодаря ему Google довольно быстро закрыл эту «фичу».
                  +1
                  т.е. его заслуга только в том, что он в более близких отношениях с гуглом, чем ganqqwerty или другие люди, нашедшие этот баг?
                    +5
                    А кто сказал, что он «в более близких отношениях с гуглом»?

                    Его заслуга в том, что эксперт обнаружил уязвимость и сумел донести до других, в чём заключается опасность. Другие, до него, просто видели лишь «прикольную фишку», но не понимали что это уязвимость. Конечно, в этом нет ничего удивительного — каждый является экспертом в своей области.

                    Возможно, не самое удачное сравнение, но вспомните детей, которые находили боеприпасы и бросали их в огонь — для них это было прикольно.
                      +1
                      Всельчаки уже давно так развлекались, кто ради фана, кто по делу. Подача материала не экслюзивна. Вот из 2016 в том же ключе про их священную корову plus.google.com/+AaronBradley/posts/92wjiusi2YC. Поэтому вся эта история про неведающего исполина и народного героя выглядит немного сказачной.
                +4
                И пусть кто теперь скажет, что хабр уже не торт.
                  +6
                  Так не торт же, закрыли уязвимость
                    +1
                    А КДПВ то осталась)
                      0
                      Да, теперь уже хабр точно не торт :(
                    0
                    В сухом остатке получается, что статья о том, что уязвимости уже нет.

                    P.S. LukaSafonov, у вас маленькая описка, вместо «url» написано «uri».
                      +4
                      На момент написания статьи (вчера) уязвимость была — в статье есть скрины и описание.

                      Это не описка, URI — Uniform Resource Identifier.
                        +2
                        Я понимаю, что уязвимость была. Просто на момент моего чтения уже была пометка о закрытии уязвимости.
                        Насчёт URI, БОЛЬШОЕ СПАСИБО, что поправили. Был не прав, зато много нового узнал.
                      0
                      Кажется, я чего-то не понимаю. Мне трудно представить сценарии зловредной эксплуатации этой фичибаги.
                      Чтобы пользователь попал на выдачу Торт->Хабр, он должен пройти по ссылке, сформированной хакером Евой. Причем желательно обфусцированной. Но если Ева как-то убедила Алису кликнуть по своей ссылке, там может быть что угодно: сайт-обманка, загрузка трояна с перенаправлением на гугл, да много чего.
                      При этом все, чего Ева добьется — после клика по ее ссылке Алиса может перейти на тот сайт, который нужен Еве. Но для этого ей нужно убедить Алису кликнуть на обфусцированную ссылку! Почему бы тогда сразу не давать ссылку на свой сайт, зачем прослойка в виде Гугла?

                      На мой взгляд, если Алиса с подозрениемвнимательно относится к тому, какие ссылки она открывает, то не попадется на эту удочку. А если Боб бездумно кликает на все ссылки, то его можно поймать и проще.
                      Или я что-то упускаю?
                        0
                        Это делается для того, что бы гугель показывал сайт Евы уже любому, кто ввел «Торт» не заходя на сайт Евы.
                        Весовой коэфф. повышается ссылки Евы в поисковике, для этого делается.
                        0
                        Неплохо так багу нашли. Быстрый фикс логичен и беспощаден.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое