谷歌“有毒”，黑客利用網頁自動填充功能導流至惡意網站

美國時間 3 月 19 日，據 BleepingComputer 報導，一個美國學術團隊最近發現了谷歌搜尋上的大漏洞。每 200 個網頁自動填充建議中，就有一個帶毒，它會幫助黑產將流量引到誤導性網站、惡意病毒或其他惡意內容上。同時，這也是安全人員發現的最新黑帽子搜尋引擎優化（BHSEO）技術之一。

該團隊指出，他們發現了多家提供類似服務的公司，而這些公司使壞一般分兩步，先用病毒感染網頁自動填充建議，隨後再用病毒入侵搜尋結果列表。

網上搞這種黑服務的人可真不少

“我們發現，操縱建議已經成了一種火爆的新興業務，網上做這一行的人成百上千。”研究人員說。

有些服務會使用特殊工具自動在瀏覽器中搜尋問題，而有些服務則還在依靠人類操作員。可怕的是，這樣的服務已經明碼標價，每天的服務費從 1-20 美元不等。下圖為詳細的價格清單。

建議操縱服務價格清單

Sacabuche 技術能識別出中毒的搜尋建議

瞭解到，研究人員使用名為 Sacabuche 的技術來識別中毒的網頁自動填充建議，它們對一個包含了 1.17 億個建議術語的資料庫進行了詳細調查。

“我們發現，這種新威脅真是無處不在，它對如今的網際網路影響很大。”該研究團隊說。“從主流的搜尋引擎中（包括谷歌、必應和雅虎）中，我們找到了 38.3 萬個被操縱的建議。特別是，我們發現谷歌的網頁自動填充結果中，至少有 0.48% 受到了汙染。”

該團隊還在搜尋結果清單中發現了 3000 多個網站，它們在使用者點選自動填充建議時就會出現，這意味著這種黑帽子搜尋引擎優化技術已經取得了巨大成功。

移動裝置的盛行是該技術火爆起來的一大原因

隨著移動網際網路使用者的不斷增多，這種技術未來會越來越火。在移動搜尋中，網頁自動填充功能扮演了相當重要的角色，越來越懶的使用者對這項功能可是相當依賴。

其實受影響的可不只是谷歌、必應和雅虎，所有設有該功能的搜尋引擎面對攻擊都相當脆弱，這份名單中還包括百度和俄羅斯搜尋引擎 Yandex。

此外，研究人員還表示，搜尋引擎市場領頭羊已經對他們的報導進行了回應。不過，該團隊並未披露搜尋巨人回應的細節。

來源：雷鋒網