O especialista em segurança da informação Wietze Beukema descobriu uma vulnerabilidade lógica bastante simples na formação dos resultados de pesquisa do Google, permitindo a manipulação dos resultados. Apesar da simplicidade da vulnerabilidade, as consequências de seu uso podem ser bastante graves.
A adição de parâmetros ao uri permite substituir o chamado Gráfico de conhecimento ao gerar resultados de pesquisa sob demanda.
O Knowledge Graph é uma tecnologia semântica e uma base de conhecimento usada pelo Google para melhorar a qualidade de seu mecanismo de pesquisa com informações de pesquisa semântica coletadas de várias fontes. O gráfico de conhecimento fornece informações estruturadas e detalhadas sobre um tópico, além de uma lista de links para outros sites.
O objetivo é que os usuários possam usar essas informações para resolver suas consultas sem precisar ir a outros sites e coletar informações por conta própria.
Ao criar um gráfico, você pode compartilhar seus resultados na forma de uma URL curta que contém o parâmetro kgmid, responsável pela exibição do Gráfico de Conhecimento, bem como o parâmetro kponly, responsável pela prioridade do Gráfico de Conhecimento.
Depois de clicar no URL curto, o link é transformado e você pode obter o parâmetro kgmid necessário:
Além disso, o parâmetro obtido pode ser usado para gerar uma saída falsa:
https://www.google.com/search?q=cake&kgmid=/m/07s4h8h&kponly
Para mascarar a interface do usuário, você pode usar o goo.gl: https://goo.gl/5FK7Na
Essas manipulações podem ser usadas pelos atacantes para criar informações falsas, notícias falsas, recheios, etc.
UPD: 11/01/2019 a vulnerabilidade está fechada .