Der Informationssicherheitsexperte Wietze Beukema entdeckte eine ziemlich einfache logische Sicherheitslücke bei der Erstellung von Google-Suchergebnissen, die eine Manipulation der Ergebnisse ermöglichte. Trotz der Einfachheit der Sicherheitsanfälligkeit können die Folgen ihrer Verwendung sehr schwerwiegend sein.
Durch einfaches Hinzufügen von Parametern zu uri können Sie die so genannten ersetzen Wissensdiagramm beim Generieren von Suchergebnissen nach Bedarf.
Knowledge Graph ist eine semantische Technologie und Wissensbasis, die von Google verwendet wird, um die Qualität seiner Suchmaschine mit semantischen Suchinformationen aus verschiedenen Quellen zu verbessern. Das Wissensdiagramm enthält strukturierte und detaillierte Informationen zu einem Thema sowie eine Liste mit Links zu anderen Websites.
Das Ziel ist, dass Benutzer diese Informationen verwenden können, um ihre Fragen zu lösen, ohne auf andere Websites gehen und selbst Informationen sammeln zu müssen.
Beim Erstellen eines Diagramms können Sie seine Ergebnisse in Form einer Kurz-URL freigeben, die den Parameter kgmid enthält, der für die Anzeige des Wissensdiagramms verantwortlich ist, sowie den Parameter kponly, der für die Priorität des Wissensdiagramms verantwortlich ist.
Nach dem Klicken auf die Kurz-URL wird der Link transformiert und Sie können den erforderlichen kgmid-Parameter erhalten:
Ferner kann der erhaltene Parameter verwendet werden, um eine gefälschte Ausgabe zu erzeugen:
https://www.google.com/search?q=cake&kgmid=/m/07s4h8h&kponly
Um uri zu maskieren, können Sie goo.gl verwenden: https://goo.gl/5FK7Na
Diese Manipulationen können von Angreifern verwendet werden, um falsche Informationen, falsche Nachrichten, Füllung usw. zu erstellen.
UPD: 01/11/2019 Die Sicherheitsanfälligkeit ist geschlossen .