0
雷鋒網消息,美國時間 3 月 19 日,據 BleepingComputer 報道,一個美國學術團隊最近發現了谷歌搜索上的大漏洞。每 200 個網頁自動填充建議中,就有一個帶毒,它會幫助黑產將流量引到誤導性網站、惡意病毒或其他惡意內容上。同時,這也是安全人員發現的最新黑帽子搜索引擎優化(BHSEO)技術之一。
該團隊指出,他們發現了多家提供類似服務的公司,而這些公司使壞一般分兩步,先用病毒感染網頁自動填充建議,隨后再用病毒入侵搜索結果列表。
“我們發現,操縱建議已經成了一種火爆的新興業務,網上做這一行的人成百上千。”研究人員說。
有些服務會使用特殊工具自動在瀏覽器中搜索問題,而有些服務則還在依靠人類操作員。可怕的是,這樣的服務已經明碼標價,每天的服務費從 1-20 美元不等。下圖為詳細的價格清單。
建議操縱服務價格清單
雷鋒網了解到,研究人員使用名為 Sacabuche 的技術來識別中毒的網頁自動填充建議,它們對一個包含了 1.17 億個建議術語的數據庫進行了詳細調查。
“我們發現,這種新威脅真是無處不在,它對如今的互聯網影響很大。”該研究團隊說。“從主流的搜索引擎中(包括谷歌、必應和雅虎)中,我們找到了 38.3 萬個被操縱的建議。特別是,我們發現谷歌的網頁自動填充結果中,至少有 0.48% 受到了污染。”
該團隊還在搜索結果清單中發現了 3000 多個網站,它們在用戶點擊自動填充建議時就會出現,這意味著這種黑帽子搜索引擎優化技術已經取得了巨大成功。
隨著移動互聯網用戶的不斷增多,這種技術未來會越來越火。在移動搜索中,網頁自動填充功能扮演了相當重要的角色,越來越懶的用戶對這項功能可是相當依賴。
其實受影響的可不只是谷歌、必應和雅虎,所有設有該功能的搜索引擎面對攻擊都相當脆弱,這份名單中還包括百度和俄羅斯搜索引擎 Yandex。
此外,研究人員還表示,搜索引擎市場領頭羊已經對他們的報道進行了回應。不過,該團隊并未披露搜索巨人回應的細節。
雷鋒網Via. BleepingComputer
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
