据外媒报道，英国网络安全专家维特泽·贝库玛（Wietze Beukema）日前在谷歌搜索中发现漏洞，并警告称任何人都可以轻松利用这个漏洞操纵搜索结果，并给出看起来非常真实的错误信息。


　　这个漏洞可以修改谷歌搜索结果中的“知识面板”（knowledge graph），这些“知识面板”是在搜索结果中弹出的卡片，用可视化和快速的事实来补充搜索查询。任何国家、星球、科技新闻网站等等，都有卡片出现在谷歌搜索结果的右侧，一目了然地显示着其他重要的相关信息。

　　在一篇博客文章中，贝库玛解释说，在谷歌搜索结果中输入简短的、可共享的URL时，可以被剪切并添加到任何其他搜索查询的网址中。因此，当你搜索“英国的首都在哪里”时，你可能认为会出现伦敦。但实际上，你可以将它修改为任何地方，比如火星。如果你搜索“谁是美国总统？”，你可以直接操纵结果，让它变成“Snoop Dogg”。


　　这个漏洞使得将知识卡的内容，可以被轻松放入搜索结果中。被操纵的搜索查询不会破坏HTTPS，因此任何人都可以创建一个链接，通过电子邮件发送、在Twitter上发布或在Facebook上共享。在一个不信任互联网公司的时代，这可能引发真正的问题。贝库玛警告说，这种搜索操纵漏洞可能被用来传播不真实的错误信息。

　　“谁应对9/ 11 负责？”可以指向乔治·布什（George Bush），这是个被广泛接受的阴谋论。“巴拉克·奥巴马（Barack Obama）出生在哪里？”可以指向肯尼亚，这是他的继任者唐纳德·特朗普（Donald Trump）传播的另一个阴谋论，尽管后来特朗普收回了这种说法。甚至，“我应该投票给哪个政党？”可以指共和党人，也可以指向民主党人。

　　难怪这么多人认为选举被操纵了，他们认为可以点击一个按钮，让搜索引擎告诉他们投票给谁。

　　贝库玛表示，任何人都可以“生成外观正常的谷歌URL，并做出有争议的断言”，这可能“在谷歌上看起来很糟糕，更糟的是，人们会认为它们是真的”。他说，他第一次向谷歌报告这个漏洞是在 2017 年 12 月，但该报告在谷歌没有采取任何行动的情况下被搁置。贝库玛说：“我所描述的‘攻击’依赖于人们对谷歌的信任，以及谷歌所呈现的事实。”

　　撰写本文时，谷歌搜索中的漏洞仍处于活动状态。事实上，它的存在已经有将近三年的历史了。贝库玛只是在一年多前首次发现这个问题后，才将其公之于众。但它已经引起了黑客社区的兴趣。开发人员卢卡斯·米勒（Lucas Miller）仅花了几个小时就构建了一个Python脚本，以便根据搜索查询自动生成虚假结果。

　　对于谷歌为何花了这么长时间来修复其搜索结果中的一个小漏洞，至今依然不清楚。但谷歌的一位发言人称，谷歌正在“努力解决”这个问题。（腾讯科技 审校/金鹿）