Подмена поисковой выдачи Google +107




 
Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть довольно серьезными.


Простое добавление параметров в uri позволяет подменить т.н. Knowledge Graph при формировании поисковой выдачи по запросу.


Knowledge Graph — семантическая технология и база знаний, используемая Google для повышения качества своей поисковой системы с семантическо-розыскной информацией, собранной из различных источников. Граф знаний предоставляет структурированную и подробную информацию о теме в дополнение к списку ссылок на другие сайты.
 



 
Цель состоит в том, чтобы пользователи могли использовать эту информацию для решения своих запросов без необходимости перехода на другие сайты и сбора информации самостоятельно.


При формировании графа можно поделиться его результатами в виде short-URL, который содержит параметр kgmid, отвечающий за отображение Knowledge Graph, а также параметр kponly, отвечающий за приоритет Knowledge Graph.



 
После перехода по short-URL ссылка трансформируется, и можно получить необходимый параметр kgmid:



 
Далее полученный параметр можно использовать для формирования поддельной выдачи:
https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly


Для маскировки uri можно воспользоваться goo.gl: https://goo.gl/5FK7Na


Данные манипуляции могут быть использованы злоумышленниками для создания недостоверной информации, поддельных новостей, вбросов и т.д.



 



 



 
UPD: 11.01.2019 уязвимость закрыта.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:



Комментарии (21):

  1. dbalabanov
    /#19601312

    неужели так просто? прям не верится.

    • Revertis
      /#19602002

      Google will finally be working to fix a bug in its search engine that allowed results to be spoofed
      Пофиксят, в будущем времени.

      • mwambanatanga
        /#19602504

        У меня не завелось и я стал гуглить причину. Прочитав об их планах и сравнив со своей реальностью, я сделал вывод, что будущее уже наступило.

      • psycat
        /#19603308

        Увы, но вы живете в прошлом.

  2. legolegs
    /#19602172

    Уже пофиксили, по ссылке
    https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly торты, по ссылке
    https://www.google.com/search?q=борщ&kgmid=/m/07s4h8h&kponly борщи

  3. dikkini
    /#19602436

    Не работает.
    www.google.com/search?q=testB&kgmid=/m/0225tg&kponly
    поисковая выдача отсутсвует

  4. ganqqwerty
    /#19602742 / -1

    «ыксперт обнаружил уязвимость»… С самого появления kgraph этой фишкой все пользовались по приколу, вон я это еще в 2013 году описал.

    • w0den
      /#19603218

      Разве не именно это делает его экспертом по информационной безопасности? Оказывается, действительно, некоторые знали об этой «фишке», но только он заметил в этом уязвимость позволяющая генерировать фишинговые результаты. И только благодаря ему Google довольно быстро закрыл эту «фичу».

      • CuteDog
        /#19603608 / -1

        т.е. его заслуга только в том, что он в более близких отношениях с гуглом, чем ganqqwerty или другие люди, нашедшие этот баг?

        • w0den
          /#19603738

          А кто сказал, что он «в более близких отношениях с гуглом»?

          Его заслуга в том, что эксперт обнаружил уязвимость и сумел донести до других, в чём заключается опасность. Другие, до него, просто видели лишь «прикольную фишку», но не понимали что это уязвимость. Конечно, в этом нет ничего удивительного — каждый является экспертом в своей области.

          Возможно, не самое удачное сравнение, но вспомните детей, которые находили боеприпасы и бросали их в огонь — для них это было прикольно.

          • funca
            /#19604896

            Всельчаки уже давно так развлекались, кто ради фана, кто по делу. Подача материала не экслюзивна. Вот из 2016 в том же ключе про их священную корову plus.google.com/+AaronBradley/posts/92wjiusi2YC. Поэтому вся эта история про неведающего исполина и народного героя выглядит немного сказачной.

  5. vyo
    /#19603212 / +2

    И пусть кто теперь скажет, что хабр уже не торт.

    • forever_live
      /#19603742 / +1

      Так не торт же, закрыли уязвимость

      • vyo
        /#19606958

        Да, теперь уже хабр точно не торт :(

  6. В сухом остатке получается, что статья о том, что уязвимости уже нет.

    P.S. LukaSafonov, у вас маленькая описка, вместо «url» написано «uri».

    • LukaSafonov
      /#19604318 / +1

      На момент написания статьи (вчера) уязвимость была — в статье есть скрины и описание.

      Это не описка, URI — Uniform Resource Identifier.

      • Я понимаю, что уязвимость была. Просто на момент моего чтения уже была пометка о закрытии уязвимости.
        Насчёт URI, БОЛЬШОЕ СПАСИБО, что поправили. Был не прав, зато много нового узнал.

  7. ads83
    /#19605844

    Кажется, я чего-то не понимаю. Мне трудно представить сценарии зловредной эксплуатации этой фичибаги.
    Чтобы пользователь попал на выдачу Торт->Хабр, он должен пройти по ссылке, сформированной хакером Евой. Причем желательно обфусцированной. Но если Ева как-то убедила Алису кликнуть по своей ссылке, там может быть что угодно: сайт-обманка, загрузка трояна с перенаправлением на гугл, да много чего.
    При этом все, чего Ева добьется — после клика по ее ссылке Алиса может перейти на тот сайт, который нужен Еве. Но для этого ей нужно убедить Алису кликнуть на обфусцированную ссылку! Почему бы тогда сразу не давать ссылку на свой сайт, зачем прослойка в виде Гугла?

    На мой взгляд, если Алиса с подозрениемвнимательно относится к тому, какие ссылки она открывает, то не попадется на эту удочку. А если Боб бездумно кликает на все ссылки, то его можно поймать и проще.
    Или я что-то упускаю?

    • AWSVladimir
      /#19605888

      Это делается для того, что бы гугель показывал сайт Евы уже любому, кто ввел «Торт» не заходя на сайт Евы.
      Весовой коэфф. повышается ссылки Евы в поисковике, для этого делается.