美國時間 3 月 19 日,據 BleepingComputer 報導,一個美國學術團隊最近發現了谷歌搜尋上的大漏洞。每 200 個網頁自動填充建議中,就有一個帶毒,它會幫助黑產將流量引到誤導性網站、惡意病毒或其他惡意內容上。同時,這也是安全人員發現的最新黑帽子搜尋引擎優化(BHSEO)技術之一。
該團隊指出,他們發現了多家提供類似服務的公司,而這些公司使壞一般分兩步,先用病毒感染網頁自動填充建議,隨後再用病毒入侵搜尋結果列表。
網上搞這種黑服務的人可真不少
“我們發現,操縱建議已經成了一種火爆的新興業務,網上做這一行的人成百上千。”研究人員說。
有些服務會使用特殊工具自動在瀏覽器中搜尋問題,而有些服務則還在依靠人類操作員。可怕的是,這樣的服務已經明碼標價,每天的服務費從 1-20 美元不等。下圖為詳細的價格清單。
建議操縱服務價格清單
Sacabuche 技術能識別出中毒的搜尋建議
瞭解到,研究人員使用名為 Sacabuche 的技術來識別中毒的網頁自動填充建議,它們對一個包含了 1.17 億個建議術語的資料庫進行了詳細調查。
“我們發現,這種新威脅真是無處不在,它對如今的網際網路影響很大。”該研究團隊說。“從主流的搜尋引擎中(包括谷歌、必應和雅虎)中,我們找到了 38.3 萬個被操縱的建議。特別是,我們發現谷歌的網頁自動填充結果中,至少有 0.48% 受到了汙染。”
該團隊還在搜尋結果清單中發現了 3000 多個網站,它們在使用者點選自動填充建議時就會出現,這意味著這種黑帽子搜尋引擎優化技術已經取得了巨大成功。
移動裝置的盛行是該技術火爆起來的一大原因
隨著移動網際網路使用者的不斷增多,這種技術未來會越來越火。在移動搜尋中,網頁自動填充功能扮演了相當重要的角色,越來越懶的使用者對這項功能可是相當依賴。
其實受影響的可不只是谷歌、必應和雅虎,所有設有該功能的搜尋引擎面對攻擊都相當脆弱,這份名單中還包括百度和俄羅斯搜尋引擎 Yandex。
此外,研究人員還表示,搜尋引擎市場領頭羊已經對他們的報導進行了回應。不過,該團隊並未披露搜尋巨人回應的細節。
來源:雷鋒網