Covert Redirect – угроза существует, но не слишком масштабна

В минувшие выходные студент-математик Наньянского Технологического Университета в Сингапуре Ван Цзин опубликовал сообщение, наделавшее немало шума. Он сообщил об обнаружении уязвимости Covert Redirect, которую пресса поспешила приравнять по масштабам опасности к печально известной уязвимости криптографических протоколов OpenSSL Heartbleed, которую считают одной из самых серьезных угроз интернету.

Covert Redirect угрожает протоколам OAuth и OpenID, которые очень широко применяются в сети для авторизации и аутентификации. Злоумышленники имеют возможность перехватывать персональные данные пользователей и перенаправлять их на вредоносные страницы. Происходит это при попытке авторизации в сторонних приложениях с помощью учетной записи в Facebook, Google и других популярнейших ресурсах. При этом сами провайдеры (Facebook, Google и т.д.) видят, что информацию запрашивает легитимное приложение, и предоставляют данные – в числе которых могут оказаться имя и фамилия пользователя, его домашний адрес, место работы и другая конфиденциальная информация. Однако скрытое перенаправление (именно так и переводится Covert Redirect) ведет к тому, что все эти данные оказываются в руках организаторов атаки, а пользователь попадает на фальшивые страницы.

Впрочем, первая реакция на обнаружение Covert Redirect, которая была близка к панической, сменилась более трезвой и спокойной по мере того, как ситуацию проанализировали эксперты. По их мнению, Covert Redirect – далеко не новая проблема, хорошо известная специалистам. Кроме того, Covert Redirect не является собственно уязвимостью какого-либо ПО. Речь идет о способе мошенничества, использующем изначальные ограничения OAuth и OpenID. И, наконец, использовать их не так и просто. Covert Redirect работает далеко не с каждым приложением. И подтолкнуть пользователя к уязвимому ПО, да еще и убедить авторизоваться с помощью своей учетной записи – не самая простая задача.

Возможно, по этой причине крупнейшие интернет-компании отреагировали на происходящее весьма сдержанно. В Microsoft, например, подчеркнули, что Covert Redirect является проблемой сторонних сервисов, а не ресурсов самой компании. А суть ответа Facebook сводится к тому, что проблема известна, однако ее устранение может потребовать затрат и усилий, не сопоставимых с масштабом угрозы.