L'expert en sécurité de l'information Wietze Beukema a découvert une vulnérabilité logique assez simple dans la formation des résultats de recherche Google, permettant la manipulation des résultats. Malgré la simplicité de la vulnérabilité, les conséquences de son utilisation peuvent être assez graves.
L'ajout de paramètres à uri vous permet de remplacer ce que l'on appelle Graphique des connaissances lors de la génération de résultats de recherche à la demande.
Knowledge Graph est une technologie sémantique et une base de connaissances utilisées par Google pour améliorer la qualité de son moteur de recherche avec des informations de recherche sémantique collectées à partir de diverses sources. Le graphique des connaissances fournit des informations structurées et détaillées sur un sujet en plus d'une liste de liens vers d'autres sites.
L'objectif est que les utilisateurs puissent utiliser ces informations pour résoudre leurs requêtes sans avoir à se rendre sur d'autres sites et à collecter des informations par eux-mêmes.
Lors de la création d'un graphique, vous pouvez partager ses résultats sous la forme d'une URL courte qui contient le paramètre kgmid, qui est responsable de l'affichage du Knowledge Graph, ainsi que le paramètre kponly, qui est responsable de la priorité du Knowledge Graph.
Après avoir cliqué sur l'URL courte, le lien est transformé et vous pouvez obtenir le paramètre kgmid nécessaire:
De plus, le paramètre obtenu peut être utilisé pour générer une fausse sortie:
https://www.google.com/search?q=cake&kgmid=/m/07s4h8h&kponly
Pour masquer uri, vous pouvez utiliser goo.gl: https://goo.gl/5FK7Na
Ces manipulations peuvent être utilisées par des attaquants pour créer de fausses informations, de fausses nouvelles, du bourrage, etc.
UPD: 01/11/2019 la vulnérabilité est fermée .