menu
menu
logo

Covert Redirect – угроза существует, но не слишком масштабна

В минувшие выходные студент-математик Наньянского Технологического Университета в Сингапуре Ван Цзин опубликовал сообщение, наделавшее немало шума. Он сообщил об обнаружении уязвимости Covert Redirect, которую пресса поспешила приравнять по масштабам опасности к печально известной уязвимости криптографических протоколов OpenSSL Heartbleed, которую считают одной из самых серьезных угроз интернету.

Covert Redirect угрожает протоколам OAuth и OpenID, которые очень широко применяются в сети для авторизации и аутентификации. Злоумышленники имеют возможность перехватывать персональные данные пользователей и перенаправлять их на вредоносные страницы. Происходит это при попытке авторизации в сторонних приложениях с помощью учетной записи в Facebook, Google и других популярнейших ресурсах. При этом сами провайдеры (Facebook, Google и т.д.) видят, что информацию запрашивает легитимное приложение, и предоставляют данные – в числе которых могут оказаться имя и фамилия пользователя, его домашний адрес, место работы и другая конфиденциальная информация. Однако скрытое перенаправление (именно так и переводится Covert Redirect) ведет к тому, что все эти данные оказываются в руках организаторов атаки, а пользователь попадает на фальшивые страницы.

Впрочем, первая реакция на обнаружение Covert Redirect, которая была близка к панической, сменилась более трезвой и спокойной по мере того, как ситуацию проанализировали эксперты. По их мнению, Covert Redirect – далеко не новая проблема, хорошо известная специалистам. Кроме того, Covert Redirect не является собственно уязвимостью какого-либо ПО. Речь идет о способе мошенничества, использующем изначальные ограничения OAuth и OpenID. И, наконец, использовать их не так и просто. Covert Redirect работает далеко не с каждым приложением. И подтолкнуть пользователя к уязвимому ПО, да еще и убедить авторизоваться с помощью своей учетной записи – не самая простая задача.

Возможно, по этой причине крупнейшие интернет-компании отреагировали на происходящее весьма сдержанно. В Microsoft, например, подчеркнули, что Covert Redirect является проблемой сторонних сервисов, а не ресурсов самой компании. А суть ответа Facebook сводится к тому, что проблема известна, однако ее устранение может потребовать затрат и усилий, не сопоставимых с масштабом угрозы.

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте