La experta en seguridad de la información Wietze Beukema descubrió una vulnerabilidad lógica bastante simple en la formación de los resultados de búsqueda de Google, lo que permite la manipulación de los resultados. A pesar de la simplicidad de la vulnerabilidad, las consecuencias de su uso pueden ser bastante graves.
Solo agregar parámetros a uri le permite reemplazar el llamado Gráfico de conocimiento al generar resultados de búsqueda bajo demanda.
Knowledge Graph es una tecnología semántica y una base de conocimiento utilizada por Google para mejorar la calidad de su motor de búsqueda con información de búsqueda semántica recopilada de varias fuentes. El gráfico de conocimiento proporciona información estructurada y detallada sobre un tema además de una lista de enlaces a otros sitios.
El objetivo es que los usuarios puedan usar esta información para resolver sus consultas sin tener que ir a otros sitios y recopilar información por su cuenta.
Al crear un gráfico, puede compartir sus resultados en forma de una URL corta, que contiene el parámetro kgmid, que es responsable de mostrar el Gráfico de conocimiento, así como el parámetro kponly, que es responsable de la prioridad del Gráfico de conocimiento.
Después de hacer clic en la URL corta, el enlace se transforma y puede obtener el parámetro kgmid necesario:
Además, el parámetro obtenido se puede usar para generar resultados falsos:
https://www.google.com/search?q=cake&kgmid=/m/07s4h8h&kponly
Para enmascarar uri puedes usar goo.gl: https://goo.gl/5FK7Na
Los atacantes pueden utilizar estas manipulaciones para crear información falsa, noticias falsas, relleno, etc.
UPD: 01/11/2019 la vulnerabilidad está cerrada .