一个简单的bug使得欺骗谷歌搜索结果很容易传播错误信息。-王其杉博客|程序员|科技新闻
任何人都可以很容易地利用谷歌的一个bug,它可以很容易地剔除看起来完全真实的人工搜索结果。
位于伦敦的安全专家Wietze Beukema记录了这个搜索操作错误,他警告恶意用户可以使用这个错误来生成错误信息。
这是通过将谷歌搜索结果的“知识图”中的值拼接在一起来实现的,搜索结果中弹出的卡片用视觉和快速的事实补充搜索查询。任何来自国家、星球、科技新闻网站等的网站都会在谷歌搜索结果的右侧显示卡片,一目了然地显示其他信息。
在一篇博客文章中,Beukema解释说,当输入谷歌搜索结果时,短的、可共享的URL可以被切碎并添加到任何其他搜索查询的网址中。
所以,当你搜索“什么是英国的首都”时,你会想到伦敦会回来。实际上,你可以让它有任何价值——比如火星。
如果你搜索“谁是美国总统”,它也会起作用。您只需操纵结果即可读取“snoop dogg”。
一个bug可以很容易地将知识卡的内容放入搜索结果中。(图片:techcrunch)这个被操纵的搜索查询不会破坏https,所以任何人都可以创建一个链接,发邮件,发推特,或者在Facebook上分享它——而接收者,人们会认为,他们并不聪明。但是,在一个由于国家行为体错误宣传而对互联网公司产生不信任的时代,这可能是一个真正的问题。
Beukema警告说,这个搜索操纵漏洞可以用来传播事实上不正确的信息,甚至是宣传。
“谁负责9/11?可以说是乔治·布什,一个广受欢迎的阴谋论。“巴拉克奥巴马出生在哪里?可以指出,肯尼亚是另一个阴谋论,他的继任者唐纳德·特朗普(DonaldTrump)在很大程度上宣扬了这一理论,他后来放弃了这一主张。
甚至,“我应该投哪个党派的票?”可以指共和党或民主党。
难怪这么多人认为选举被操纵了,如果他们认为他们可以点击一个按钮,让搜索引擎告诉他们投票的对象。
Beukema告诉TechCrunch,任何人都可以“生成正常的谷歌网址,并做出有争议的断言”,这可能“在谷歌上看起来很糟糕,或者更糟,人们会接受它们是真的。”
他说,他于2017年12月首次向谷歌报告了该漏洞,但该报告在公司未采取任何行动的情况下关闭。
他说:“我描述的‘攻击’依赖于人们对谷歌的信任以及它所呈现的事实。”
写入时该bug仍处于活动状态。事实上,它已经被知道了近三年。一年多前,Beukema首次发现这个问题后,就把它公诸于众了。但它已经引起了黑客社区的兴趣。一个开发人员LucasMiller花了几个小时构建了一个python脚本,根据搜索查询自动生成假结果。
尽管谷歌声称存在政治偏见(尽管没有证据表明这是真的),但它花了这么长时间来修复其搜索结果中的一个基本弱点,从而使该服务更加值得信赖,这是一个谜。
一位谷歌发言人告诉TechCrunch,它正在“努力解决”这个问题。
网络安全101:如何安全私密地浏览网络