menu
menu
logo

Covert Redirect – угроза существует, но не слишком масштабна

В минувшие выходные студент-математик Наньянского Технологического Университета в Сингапуре Ван Цзин опубликовал сообщение, наделавшее немало шума. Он сообщил об обнаружении уязвимости Covert Redirect, которую пресса поспешила приравнять по масштабам опасности к печально известной уязвимости криптографических протоколов OpenSSL Heartbleed, которую считают одной из самых серьезных угроз интернету.

Covert Redirect угрожает протоколам OAuth и OpenID, которые очень широко применяются в сети для авторизации и аутентификации. Злоумышленники имеют возможность перехватывать персональные данные пользователей и перенаправлять их на вредоносные страницы. Происходит это при попытке авторизации в сторонних приложениях с помощью учетной записи в Facebook, Google и других популярнейших ресурсах. При этом сами провайдеры (Facebook, Google и т.д.) видят, что информацию запрашивает легитимное приложение, и предоставляют данные – в числе которых могут оказаться имя и фамилия пользователя, его домашний адрес, место работы и другая конфиденциальная информация. Однако скрытое перенаправление (именно так и переводится Covert Redirect) ведет к тому, что все эти данные оказываются в руках организаторов атаки, а пользователь попадает на фальшивые страницы.

Впрочем, первая реакция на обнаружение Covert Redirect, которая была близка к панической, сменилась более трезвой и спокойной по мере того, как ситуацию проанализировали эксперты. По их мнению, Covert Redirect – далеко не новая проблема, хорошо известная специалистам. Кроме того, Covert Redirect не является собственно уязвимостью какого-либо ПО. Речь идет о способе мошенничества, использующем изначальные ограничения OAuth и OpenID. И, наконец, использовать их не так и просто. Covert Redirect работает далеко не с каждым приложением. И подтолкнуть пользователя к уязвимому ПО, да еще и убедить авторизоваться с помощью своей учетной записи – не самая простая задача.

Возможно, по этой причине крупнейшие интернет-компании отреагировали на происходящее весьма сдержанно. В Microsoft, например, подчеркнули, что Covert Redirect является проблемой сторонних сервисов, а не ресурсов самой компании. А суть ответа Facebook сводится к тому, что проблема известна, однако ее устранение может потребовать затрат и усилий, не сопоставимых с масштабом угрозы.

В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su
В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su
С 1 сентября 2026 года в России вводится обязательная идентификация администраторов доменов в зонах .ru, .рф и .su через портал «Госуслуги» (ЕСИА). Такая норма закреплена в Федеральном законе от 29.12.2025 № 569-ФЗ. С момента вступления в силу новых требований зарегистрировать домен или продлить существующий можно будет только после подтверждения личности с помощью верифицированного аккаунта на «Госуслугах».
Российский бизнес заменяет зарубежные TLS‑сертификаты на решения ТЦИ
Российский бизнес заменяет зарубежные TLS‑сертификаты на решения ТЦИ
Центр сертификации ТЦИ фиксирует кратный рост спроса на отечественные TLS‑сертификаты. За последние 10 дней существенно увеличилось число заявок от корпоративных клиентов и запросов на wildcard‑сертификаты для защиты групп доменов внутри единой инфраструктуры.
ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum
ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum
Центр сертификации ТЦИ расширил линейку TLS-сертификатов. Теперь наряду с привычными вариантами на 90 и 365 дней пользователям доступны сертификаты сроком на 199 дней. Это соответствует новым требованиям организации CA/Browser Forum, которая с 15 марта 2026 года установила максимальный срок действия публичных TLS-сертификатов в 200 дней.
Стартовал прием заявок на конкурс «DOT-журналистика»
Стартовал прием заявок на конкурс «DOT-журналистика»
«Технический центр Интернет» стал партнером 14-го конкурса для профессиональных и начинающих журналистов «DOT-журналистика 2026». Конкурс проводится Координационным центром доменов .RU/.РФ и Российской ассоциацией электронных коммуникаций.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-29-69
info@tcinet.ru

Клиентская служба

+7 495 730-29-70

vk-img ВКонтакте