谷歌“有毒”，黑客利用网页自动填充功能导流至恶意网站

美国时间 3 月 19 日，据 BleepingComputer 报道，一个美国学术团队最近发现了谷歌搜索上的大漏洞。每 200 个网页自动填充建议中，就有一个带毒，它会帮助黑产将流量引到误导性网站、恶意病毒或其他恶意内容上。同时，这也是安全人员发现的最新黑帽子搜索引擎优化（BHSEO）技术之一。

该团队指出，他们发现了多家提供类似服务的公司，而这些公司使坏一般分两步，先用病毒感染网页自动填充建议，随后再用病毒入侵搜索结果列表。

网上搞这种黑服务的人可真不少

“我们发现，操纵建议已经成了一种火爆的新兴业务，网上做这一行的人成百上千。”研究人员说。

有些服务会使用特殊工具自动在浏览器中搜索问题，而有些服务则还在依靠人类操作员。可怕的是，这样的服务已经明码标价，每天的服务费从 1-20 美元不等。下图为详细的价格清单。

建议操纵服务价格清单

Sacabuche 技术能识别出中毒的搜索建议

雷锋网了解到，研究人员使用名为 Sacabuche 的技术来识别中毒的网页自动填充建议，它们对成都网页制作一个包含了 1.17 亿个建议术语的数据库进行了详细调查。

“我们发现，这种新威胁真是无处不在，它对如今的互联网影响很大。”该研究团队说。“从主流的搜索引擎中（包括谷歌、必应和雅虎）中，我们找到了 38.3 万个被操纵的建议。特别是，我们发现谷歌的网页自动填充结果中，至少有 0.48% 受到了污染。”

该团队还在搜索结果清单中发现了 3000 多个网站，它们在用户点击自动填充建议时就会出现，这意味着这种黑帽子搜索引擎优化技术已经取得了巨大成功。

移动设备的盛行是该技术火爆起来的一大原因

随着移动互联网用户的不断增多，这种技术未来会越来越火。在移动搜索中，网页自动填充功能扮演了相当重要的角色，越来越懒的用户对这项功能可是相当依赖。

其实受影响的可不只是谷歌、必应和雅虎，所有设有该功能的搜索引擎面对攻击都相当脆弱，这份名单中还包括百度和俄罗斯搜索引擎 Yandex。

此外，研究人员还表示，搜索引擎市场领头羊已经对他们的报道进行了回应。不过，该团队并未披露搜索巨人回应的细节。