雷鋒網(wǎng)消息，美國時間 3 月 19 日，據(jù) BleepingComputer 報道，一個美國學(xué)術(shù)團(tuán)隊最近發(fā)現(xiàn)了谷歌搜索上的大漏洞。每 200 個網(wǎng)頁自動填充建議中，就有一個帶毒，它會幫助黑產(chǎn)將流量引到誤導(dǎo)性網(wǎng)站、惡意病毒或其他惡意內(nèi)容上。同時，這也是安全人員發(fā)現(xiàn)的最新黑帽子搜索引擎優(yōu)化（BHSEO）技術(shù)之一。

該團(tuán)隊指出，他們發(fā)現(xiàn)了多家提供類似服務(wù)的公司，而這些公司使壞一般分兩步，先用病毒感染網(wǎng)頁自動填充建議，隨后再用病毒入侵搜索結(jié)果列表。

網(wǎng)上搞這種黑服務(wù)的人可真不少

“我們發(fā)現(xiàn)，操縱建議已經(jīng)成了一種火爆的新興業(yè)務(wù)，網(wǎng)上做這一行的人成百上千?！毖芯咳藛T說。

有些服務(wù)會使用特殊工具自動在瀏覽器中搜索問題，而有些服務(wù)則還在依靠人類操作員。可怕的是，這樣的服務(wù)已經(jīng)明碼標(biāo)價，每天的服務(wù)費從 1-20 美元不等。下圖為詳細(xì)的價格清單。

建議操縱服務(wù)價格清單

Sacabuche 技術(shù)能識別出中毒的搜索建議

雷鋒網(wǎng)了解到，研究人員使用名為 Sacabuche 的技術(shù)來識別中毒的網(wǎng)頁自動填充建議，它們對一個包含了 1.17 億個建議術(shù)語的數(shù)據(jù)庫進(jìn)行了詳細(xì)調(diào)查。

“我們發(fā)現(xiàn)，這種新威脅真是無處不在，它對如今的互聯(lián)網(wǎng)影響很大?！痹撗芯繄F(tuán)隊說。“從主流的搜索引擎中（包括谷歌、必應(yīng)和雅虎）中，我們找到了 38.3 萬個被操縱的建議。特別是，我們發(fā)現(xiàn)谷歌的網(wǎng)頁自動填充結(jié)果中，至少有 0.48% 受到了污染?！?/p>

該團(tuán)隊還在搜索結(jié)果清單中發(fā)現(xiàn)了 3000 多個網(wǎng)站，它們在用戶點擊自動填充建議時就會出現(xiàn)，這意味著這種黑帽子搜索引擎優(yōu)化技術(shù)已經(jīng)取得了巨大成功。

移動設(shè)備的盛行是該技術(shù)火爆起來的一大原因

隨著移動互聯(lián)網(wǎng)用戶的不斷增多，這種技術(shù)未來會越來越火。在移動搜索中，網(wǎng)頁自動填充功能扮演了相當(dāng)重要的角色，越來越懶的用戶對這項功能可是相當(dāng)依賴。

其實受影響的可不只是谷歌、必應(yīng)和雅虎，所有設(shè)有該功能的搜索引擎面對攻擊都相當(dāng)脆弱，這份名單中還包括百度和俄羅斯搜索引擎 Yandex。

此外，研究人員還表示，搜索引擎市場領(lǐng)頭羊已經(jīng)對他們的報道進(jìn)行了回應(yīng)。不過，該團(tuán)隊并未披露搜索巨人回應(yīng)的細(xì)節(jié)。

雷鋒網(wǎng)Via. BleepingComputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。