✍️ Статья История одного репорта в Google или как манипулировать данными в Google Maps. Часть 1

The 146X Project Dublikat Web Studio Avram Lincoln AL Service Navigator Knyaz

BlackPope

Команда форума
Модератор DeepWeb ✔️
PR-Group DeepWeb 🔷
Регистрация
27.04.2020
Сообщения
230
Как часто вы пользуетесь Карты Google? Верите ли вы в то, что мега корпорации делают все, чтобы делать отличные, безопасные продукты для своих пользователей? Думали ли вы, что они могут просто не замечать критики от простых людей, которые пользуются их продуктами? Так получается, что я замечаю то, что иногда не видят другие или не придают этому значения. В общем этот рассказ о том, как мне слишком много пришлось пользоваться Картами Google и о беспечности корпорации, я бы даже сказал об отношении этих корпораций к своим продуктам и отзыву потребителей.

Опустим, пожалуй, подробное начало этой истории т. к. не обо всех аспектах я могу говорить в связи с моей работой, но это и не важно. Перейдем к сути этой истории…

Начала

Думаю, многие из вас пользуются Картами Google т. к. они установлены по умолчанию во многих устройствах и многие доверяют компании Google, что она выдает релевантные ответы на ваши запросы. Но мы с коллегами обнаружили, что в системе на наш взгляд есть логические ошибки, как Карты Google проверяют информацию, которую выдают пользователю. Мы предположили интересный вектор, а что, если информация, которую выдает Карты Google не проверяется (на первый взгляд это уже смешно звучит!).

Я начал ковырять Карты Google, стал пользовать карты пару дней. И то, что я нашел меня озадачило. Я смог вносить изменения в информацию, которую выдает Google карты. Объясню, человек, который допустим пользуется Google картами вводит поисковый запрос, ну к примеру ему нужно найти компанию «Ростелеком-Солар» (коллегам привет!).

xe3RXnj59zQ.jpg


В теории

Человек, который ввел запрос надеется, что вся информация, которая выдается ему должна быть проверена и соответствовать действительности (Google врать не будет) и по идее он может спокойно доверяться всей предоставленной информации и пользоваться ей.

Реальность

Но увы (я должен вас расстроить компания Google позволяет манипулировать данными, которые выдает сама же.

Далее будет описан метод, который позволил манипулировать данными любой организации, которую выдает Карты Google. Но перед всем этим, так же хотелось бы отметить.i

Все действия, которые описаны ниже были сделаны ради эксперимента, чтобы понять как работает выдача Карт Google и не имели мошеннических целей или целей как то навредить компаниям (так же все изменения были поправлены на оригинальную информацию).

В путь

Открываем Google Chrome посмотрим версию (на всякий случай)

Vf4Ot6N9V0Y.jpg


Далее вбиваем нужный нам запрос к примеру «Ростелеком Солар»

thddmHI1pxc.jpg


На выдаче получаем официальный сайт «Ростелеком-Солар» и замечательную карточку справа (я ее выделил) в которой содержится информация об организации. Это карточка берется из Google карт, и если мы на нее переходим, то проваливаемся в сами Google карты. На этой карточке представлена полезная информация об организации (сайт, адрес и др.).

cwN1QEK7g_c.jpg


Если ткнем на кнопку сайт на карточке, то нас по идее должно перенаправить на официальный сайт. https://rt-solar.ru/

Так оно и работает примерно. Далее попробуем найти «Ростелеком-Солар» через Google карты.

GfsVXHB57tY.jpg


Отлично, все работает на первый взгляд как надо. Человек вводит в строке поиска что ему нужно и получает ответ на запрос, вроде все норм. А теперь начнем манипуляцию.

В поисковике, где делали запрос предложим исправления для информации на карточке организации.

AoV6QAdTv0o.jpg


Предлагаем исправления, а давайте поменяем официальный сайт организации, чтобы Google карты и не только выдавали другой сайт ( далее мы более подробно обсудим векторы атак и сценарии возможной манипуляции).

Так видим официальный сайт.

uB1ve6_xZAg.jpg


Меняем на что-нибудь менее прозаичное

wMxXUb-4TgI.jpg


Жамкаем на отправить.

m9LqkjJpUh4.jpg


Обратим внимание, что нам выдала система «Предложенное изменение рассматривается». Ну значит все ок, наш эксперимент по идее должен на этом закончиться неудачей, ведь компания Google ответственная и все тщательно проверяет (подумал я с ухмылкой на своем лице). Ну что же, подождав пару минут я начал проверять результат наших манипуляций и что я обнаружил меня очень сильно порадовало. Буквально через пару минут я увидел, что внесенные нами изменения уже применились и их выдавали Google карты и поисковик в карточке.

Переходим на карточку выдачи Google и жамкаем на кнопку "сайт":

И тут же нас перенаправило куда?! Да на https://www.vodafone.ua/ru

M6djrfKuCTQ.jpg


Я не поверил, что такое возможно и решил оставить пока все так как есть, чтобы посмотреть, что будет с выдачей поисковика и Google картами.

Чтобы убедиться, что это не разовая ошибка решил повторить трюк. На это раз взял другую организацию (сразу отмечу что мой выбор был произвольным и ничем не обусловлен).

«Контур СКБ» https://kontur.ru/ серьезная организация, которая занимается выдачей электронных подписей (кто в курсе тот поймет)

Проверяем, что поиск выдал нам нормальную информацию

vRoOZYEShoU.jpg


Сайт официальный все хорошо. Смотрим карточку, которая справа

c1eVR8wAdl4.jpg


Жамкаем на кнопку сайт и действительно перенаправляется на официальный сайт

CToqH6Hwqn8.jpg


Проделываем все описанные мною манипуляции для изменения официального сайта. Предлагаем исправления:

ic-b2rcSs1o.jpg


Проверяем какой сайт указан в карточке:

aWlaVq67BFU.jpg


Производим подмену:

0q2hrjztMI0.jpg


Применяем ее, жамкнув кнопку «Отправить» и получаем вывод:

X2xwf5mFLrE.jpg


Проверяем карточку, которую выдал нам поисковик:

81WAFJSrhCE.jpg


Ждем пару минут и проверяем еще раз, и переходим по кнопке «Сайт» на карточке:

r2Mbtt4-XY0.jpg


Жамкаем по кнопке «Сайт» и нас перенаправляет на https://www.cryptopro.ru/

NLzz2kWWenM.jpg


Продолжение следует…
 

📌 Золотая реклама

AnonPaste

Верх