Técnica de spoofing em resultados na pesquisa do Google

Uma técnica de spoofing que cria falsos resultados de pesquisa do Google foi descoberta, o que poderia ser usado em campanhas de influência política ou para outros fins nefastos. Pode ser utilizada para disseminar a desinformação enquanto se aproveita da confiança que as pessoas depositam nos resultados de pesquisa do Google.

Nesta época de fake news, as pessoas estão mais cautelosas do que nunca em seus esforços para influenciar a opinião pública usando a desinformação – isso levou a um questionamento indiscriminado de fontes de notícias espalhadas pelas mídias sociais. Isso também levou o Facebook, o Twitter e outras pessoas a agirem em termos de reprimir campanhas de influência.

No entanto, menos importantes são os sistemas que confiamos e em que confiamos – nomeadamente as pesquisas do Google.

Apesar de algumas acusações de que o Google usou seus algoritmos de busca para retornar resultados de notícias tendenciosas (uma acusação negada categoricamente), a maioria das pessoas confiam no mecanismo de busca para retornar informações relevantes e precisas. Uma técnica de spoofing aproveita a legitimidade percebida pelo Google para criar informações falsas mais confiáveis, simplesmente adicionando dois parâmetros a qualquer URL de uma pesquisa do Google.

De acordo com o pesquisador holandês independente Wietze Beukema, a abordagem faz uso de Knowledge Cards (tradução para “Cartões de Conhecimento”), que são aquelas ‘caixas’ no lado direito da tela e que contém informações relevantes para qualquer consulta de busca realizada pelo usuário no Google. Por exemplo, uma pesquisa por MSNBC oferece resultados de pesquisa regulares junto com um Knowledge Card com fatos importantes sobre o veículo de notícias.

Os Knowledge Cards estão longe de ser fontes de informações completamente sólidas – de acordo com a pesquisadora, a maioria das informações vem diretamente da Wikipedia e de uma mistura de outras fontes, como um clichê corporativo.

“Infelizmente, o Knowledge Graph [Diagrama de Conhecimento] não diz de onde ele tirou as informações”, escreveu Beukema em um post no blog esta semana. “Além disso, o algoritmo às vezes mistura informações quando há várias correspondências (por exemplo, pessoas com o mesmo nome). Isso levou a um pequeno número de incidentes relacionados à precisão do recurso.”

No entanto, a maioria das pessoas leva a informação ao pé da letra, abrindo as portas para a engenharia social.

“As pessoas foram efetivamente treinadas para obter informações dessas caixas que aparecem no Google”, disse Beukema. “É conveniente e rápido – eu me peguei confiando nas informações apresentadas pelo Google em vez de estudar os resultados da pesquisa.”

“Falsificando” um resultado de pesquisa

Acontece que qualquer pessoa pode anexar um card do Knowledge Graph à sua pesquisa do Google, o que pode ser útil se você quiser compartilhar informações fornecidas em um card do Knowledge Graph com outra pessoa. Cada um possui um identificador exclusivo (o parâmetro &kgmid), que pode ser adicionado à URL da consulta de pesquisa original. Um atacante pode, assim, adicionar qualquer Knowledge Card que ele escolher para executar ao lado dos resultados de pesquisa de qualquer consulta, conforme imagem a seguir:

resultados-falsificados-google-1
Figura 1: exemplo de uma Pesquisa do Google com um cartão do Knowledge Graph à direita

“Por exemplo, você pode adicionar ao Knowledge Graph do Paul McCartney (kgmid=/m/03j24kf) a uma busca pelos Beatles, embora esse card normalmente não apareça para essa consulta”, explicou Beukema.

Também é possível criar uma URL que exiba apenas o card Knowledge Graph e omita qualquer resultado de pesquisa, adicionando o parâmetro &kponly à URL. Todavia, a barra de pesquisa ainda estará visível na consulta original, mesmo que não tenha nada a ver com o card que está sendo exibido.

Essas duas coisas combinadas podem ser aproveitadas para realizar esforços de propaganda. Por exemplo, um ator mal-intencionado poderia postar uma URL de consulta personalizada nas mídias sociais, supostamente mostrando resultados de pesquisa reais do Google para um tópico “bombando” no momento. A pesquisadora usou o exemplo da pergunta: “Quem é responsável pelo 11 de setembro?”. Depois de adulterar a URL, é possível sugerir que George W. Bush foi o responsável pelo ataque terrorista de 11 de setembro:

resultados-falsificados-google-2
Figura 2: exemplo de como é fácil produzir notícias falsas usando a Pesquisa do Google

Embora qualquer um que realmente tente replicar os resultados da pesquisa com uma pergunta própria receba uma resposta diferente (Osama bin Laden, é claro), ela ainda pode ser uma ferramenta poderosa para espalhar a desinformação, particularmente para aqueles com um viés de confirmação que podem estar simplesmente percorrendo o feed de notícias, por exemplo.

“Isso permite enganar os outros para que acreditem que algo é verdade”, disse Beukema. “Afinal, é um link legítimo de uma pesquisa do Google e, como fomos treinados para confiar nas respostas fornecidas pelo Google, deve haver alguma verdade nisso, certo?”

O pesquisador apresentou um relatório de bug há um ano ao Google, defendendo a desativação do parâmetro &kponly em particular; ele disse que a gigante da internet não considera uma vulnerabilidade grave o suficiente.

“Eu discordo: neste dia e época de fake news e fatos alternativos, é irresponsável ter um ‘recurso’ que permite as pessoas fabricarem informações falsas em uma plataforma de confiança de muitos”, disse Beukema.

No entanto, um porta-voz do Google disse ao Threatpost que, embora permita que os usuários apontem para cards de conhecimento específicos, é parte do mandato da empresa para facilitar o compartilhamento de informações, e que, na verdade, estava trabalhando para resolvê-lo. “Compartilhamos a preocupação com o potencial dos agentes mal-intencionados para criar distorções enganosas de nossas páginas de resultados de pesquisa e estamos trabalhando para corrigir esse problema”, informou.

.

* * * * *

.

Publicado originalmente no ThreatPost em 10 de janeiro de 2019.

Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.

Autora: Tara Seals
Tradução por Tiago Souza

.

Disclaimer: Todas as informações aqui contidas são para fins didáticos e não para causar danos e prejuízos para alguém, usem sempre o conhecimento aqui compartilhado com ética e responsabilidade. Não nos responsabilizamos pela utilização indevida do conteúdo aqui exposto. Leia mais no aviso legal em nosso site.

.

.

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.