Google hat sich über die vielen Jahre ein ganz besonderes Image bei den Internetnutzern aufgebaut, das vor allem auf Vertrauen basiert. Was Google als Fakt angibt, das stimmt auch – so zumindest die Meinung sehr sehr vieler Menschen. Doch jetzt wurde ein Bug bekannt, der zumindest kurzzeitig an diesem Status rütteln könnte. Durch einen einzigen Parameter lassen sich nahezu beliebige Inhalte in der Websuche anzeigen.
Für sehr viele Suchanfragen spuckt Google mittlerweile nicht nur die im Web gefunden Seiten aus, sondern auch handfeste Informationen in Form des Knowledge Graph oder auch durch Oneboxen. In beiden Fällen stammen die Informationen zwar ebenfalls aus dem Web, sind aber von den Algorithmen aufbereitet und durch weitere Quellen automatisiert verifiziert, sodass (fast) alles was dort aufgeführt wird, auch tatsächlich korrekt ist.
Durch einen Bug in der Websuche ist es nun aber möglich, diese Karten zu jeder beliebigen Suchanfrage anzuzeigen – und das durch nur einen einzigen Parameter. Diese Suchanfrage wird euch mitteilen, dass München die Hauptstadt von Deutschland ist, außerdem lässt sich Donald Trump zum Bundeskanzler machen und vieles mehr. Hinter dem Link wird nun die Suchanfrage sowie die Knowledge Graph-Antwort angezeigt, so wie das auf folgende Screenshots zu sehen ist.
Möglich wird diese Manipulation von Informationen durch einen einfachen Parameter in der URL der Websuche. Durch den Parameter kgmid gefolgt von einer eindeutigen ID lässt sich jeder beliebige Knowledge Graph in der Websuche einblenden. Sollte es einen echten Knowledge Graph geben, wird dieser ignoriert und stattdessen die per URL angeforderte Version angezeigt. Durch den Parameter &kgmid=/m/0cqt90 lässt sich bei jeder Suchanfrage der Knowledge Graph von Donald Trump anzeigen.
Die ID eines Knowledge Graphs lässt sich recht leicht über die Teilen-Funktion herausfinden. Klickt einfach auf den Teilen-Link im Knowledge Graph und ihr erhaltet eine Kurz-URL. Die muss dann aufgerufen werden und verwandelt sich in die lange Version inklusive dem kgmid-Parameter. Jetzt kann dieser überall hin kopiert und die gefälschten Google-Links verteilt werden. Da die Google-Ergebnisseiten häufig sehr viele Parameter enthalten, fällt das gar nicht auf.
Problematisch wird das dadurch, weil es ja tatsächlich die echte Google-Websuche unter der echten URL ist, der viele Menschen vertrauen. Vor allem leichtgläubige Nutzer, die gerne auch mal auf Verschwörungstheorien hereinfallen, könnten damit leicht geködert werden. Insbesondere dann, wenn Google keine Suchergebnisse mehr anzeigt.
Der Bug ist Google übrigens bereits seit knapp drei Jahren bekannt, wurde aber nie gefixt. Das dürfte sich nach den Medienberichten nun hoffentlich ändern. Warum so etwas überhaupt per Parameter geändert werden kann, lässt sich bei den vielen Sicherheitsvorkehrungen kaum nachvollziehen.
UPDATE 11.01.2019: Der Bug wurde behoben, die URLs funktionieren nicht mehr
Siehe auch
» Google Websuche: Activity Cards zeigen jetzt verwandte Suchanfragen aus dem eigenen Verlauf