“Google知識圖譜(Google Knowledge Graph)”為Google於2012年所推出的新功能,
藉由顯示知識圖譜,使用者能在搜尋後迅速獲得經過簡單彙整的結構化訊息,
以及相關的額外資訊或連結列表;然而如此方便的服務,卻有著被用來助長散布假消息的可能性─
根據iThome的報導,英國資安人員Wietze Beukema發現了Google知識圖譜的表現方式有bug,
只要複製代號,就可以於任何Google搜索的分享連結中嵌入或置換特定知識圖譜,
若再加入特定參數值,甚至還能以知識圖譜完整取代搜尋結果、讓人信以為真!
(以下內容引述自iThome)
…..Beukema則發現,假設使用者按下了知識圖表下方的社群分享功能,
它會產生一個方便用來分享的短網址,該網址含有一個以&kgmid為首的參數值,
該參數值即代表特定的知識圖表,如McCartney的知識圖表參數值為&kgmid=/m/03j24kf…..
…..於是,使用者可以在任何分享連結中嵌入或置換成McCartney的知識圖表,
例如搜尋美國總統川普(Donald Trump)時,右方卻會出現McCartney的知識圖表…..
…..此外,Google還提供了另一個&kponly參數以讓知識圖表直接取代整個搜尋結果,
代表使用者只能看到知識圖表,而無法參考其它的搜尋結果…..
…..
1/12增補─Google已修補此漏洞,喵的.
這漏洞看起來滿簡單的,Norman便按照Wietze Beukema提供的案例試著做看看,
首先在Google上搜索欲嵌入的知識圖譜主題,這邊以我家的桜為例:
搜索”間桐桜”後,複製右方知識圖譜的分享連結並將其貼入網址列.
進入Google提供的分享短網址後,複製”kgmid=”開始的那一段代號:
以我老婆桜來說,她的知識圖譜代號就是”kgmid=/g/1214mdcc”.
接著將該代號貼到欲一起出現的搜索結果網址後方,
列如我希望桜的知識圖譜出現在”Normanの嫁”的搜尋結果中,那麼網址就是:
https://www.google.com/search?q=Normanの嫁&kgmid=/g/1214mdcc
點選該網址,就能看到桜的知識圖譜出現在”Normanの嫁”的右邊了!
若希望隱藏搜尋結果、僅顯示知識圖譜,只要在網址尾端加上”&kponly”即可:
https://www.google.com/search?q=Normanの嫁&kgmid=/g/1214mdcc&kponly
接著分享該連結,就能利用Google的權威來對該結果背書、使人信以為真了!
雖然這個手法幾乎可說是專門用來傳播假搜索結果,例如像披露者Wietze Beukema的示範,
把”Where was Barack Obama born”和肯亞做連結那樣;
不過”Normanの嫁=桜”乃眾所皆知的既成事實,只是Google搜索礙於技術能力,
一直以來未能表達出正確的搜尋結果而已,所以這個漏洞…..更正、補救措施,
倒也不是僅能用於歹途,亦可於導正視聽、積極傳播(我心中的)正確消息方面有所發揮的 ww