История одного репорта в Google или как манипулировать данными в Google Maps. Часть 1

Как часто вы пользуетесь Карты Google? Верите ли вы в то, что мега корпорации делают все, чтобы делать отличные, безопасные продукты для своих пользователей? Думали ли вы, что они могут просто не замечать критики от простых людей, которые пользуются их продуктами? Так получается, что я замечаю то, что иногда не видят другие или не придают этому значения. В общем этот рассказ о том, как мне слишком много пришлось пользоваться Картами Google и о беспечности корпорации, я бы даже сказал об отношении этих корпораций к своим продуктам и отзыву потребителей.

Опустим, пожалуй, подробное начало этой истории т. к. не обо всех аспектах я могу говорить в связи с моей работой, но это и не важно. Перейдем к сути этой истории…

Начала

Думаю, многие из вас пользуются Картами Google т. к. они установлены по умолчанию во многих устройствах и многие доверяют компании Google, что она выдает релевантные ответы на ваши запросы. Но мы с коллегами обнаружили, что в системе на наш взгляд есть логические ошибки, как Карты Google проверяют информацию, которую выдают пользователю. Мы предположили интересный вектор, а что, если информация, которую выдает Карты Google не проверяется (на первый взгляд это уже смешно звучит!).

Я начал ковырять Карты Google, стал пользовать карты пару дней. И то, что я нашел меня озадачило. Я смог вносить изменения в информацию, которую выдает Google карты. Объясню, человек, который допустим пользуется Google картами вводит поисковый запрос, ну к примеру ему нужно найти компанию «Ростелеком-Солар» (коллегам привет!).

В теории

Человек, который ввел запрос надеется, что вся информация, которая выдается ему должна быть проверена и соответствовать действительности (Google врать не будет) и по идее он может спокойно доверяться всей предоставленной информации и пользоваться ей.

Реальность

Но увы (я должен вас расстроить компания Google позволяет манипулировать данными, которые выдает сама же.

Далее будет описан метод, который позволил манипулировать данными любой организации, которую выдает Карты Google. Но перед всем этим, так же хотелось бы отметить.i

Все действия, которые описаны ниже были сделаны ради эксперимента, чтобы понять как работает выдача Карт Google и не имели мошеннических целей или целей как то навредить компаниям (так же все изменения были поправлены на оригинальную информацию).

В путь

Открываем Google Chrome посмотрим версию (на всякий случай)

Далее вбиваем нужный нам запрос к примеру «Ростелеком Солар»

На выдаче получаем официальный сайт «Ростелеком-Солар» и замечательную карточку справа (я ее выделил) в которой содержится информация об организации. Это карточка берется из Google карт, и если мы на нее переходим, то проваливаемся в сами Google карты. На этой карточке представлена полезная информация об организации (сайт, адрес и др.).

Если ткнем на кнопку сайт на карточке, то нас по идее должно перенаправить на официальный сайт. https://rt-solar.ru/

Так оно и работает примерно. Далее попробуем найти «Ростелеком-Солар» через Google карты.

Отлично, все работает на первый взгляд как надо. Человек вводит в строке поиска что ему нужно и получает ответ на запрос, вроде все норм. А теперь начнем манипуляцию.

В поисковике, где делали запрос предложим исправления для информации на карточке организации.

Предлагаем исправления, а давайте поменяем официальный сайт организации, чтобы Google карты и не только выдавали другой сайт ( далее мы более подробно обсудим векторы атак и сценарии возможной манипуляции).

Так видим официальный сайт.

Меняем на что-нибудь менее прозаичное

Жамкаем на отправить.

Обратим внимание, что нам выдала система «Предложенное изменение рассматривается». Ну значит все ок, наш эксперимент по идее должен на этом закончиться неудачей, ведь компания Google ответственная и все тщательно проверяет (подумал я с ухмылкой на своем лице). Ну что же, подождав пару минут я начал проверять результат наших манипуляций и что я обнаружил меня очень сильно порадовало. Буквально через пару минут я увидел, что внесенные нами изменения уже применились и их выдавали Google карты и поисковик в карточке.

Переходим на карточку выдачи Google и жамкаем на кнопку "сайт":

И тут же нас перенаправило куда?! Да на https://www.vodafone.ua/ru

Я не поверил, что такое возможно и решил оставить пока все так как есть, чтобы посмотреть, что будет с выдачей поисковика и Google картами.

Чтобы убедиться, что это не разовая ошибка решил повторить трюк. На это раз взял другую организацию (сразу отмечу что мой выбор был произвольным и ничем не обусловлен).

«Контур СКБ» https://kontur.ru/ серьезная организация, которая занимается выдачей электронных подписей (кто в курсе тот поймет)