Nuevas configuraciones permiten a los desarrolladores testear fácilmente las aplicaciones móviles de Facebook e Instagram
Facebook ha introducido una nueva función en su plataforma que ha sido diseñada para que a los cazadores de recompensas de errores les resulte más fácil encontrar fallas de seguridad en las aplicaciones de Android de Facebook, Messenger e Instagram.
Dado que, de forma predeterminada, casi todas las aplicaciones propiedad de Facebook utilizan mecanismos de seguridad como la fijación de certificados para garantizar la integridad y la confidencialidad del tráfico, hace que sea más difícil para los piratas informáticos y los investigadores de seguridad interceptar y analizar el tráfico de red para encontrar vulnerabilidades de seguridad en el servidor.
Para quienes no lo saben, Certificate Pinning es un mecanismo de seguridad diseñado para evitar que los usuarios de una aplicación sean víctimas de ataques basados en la red al rechazar automáticamente toda la conexión de los sitios que ofrecen falsos certificados SSL.
Denominada "Whitehat Settings", la nueva opción ahora permite a los investigadores omitir fácilmente el Certificate Pinning en las aplicaciones móviles propiedad de Facebook al:
• Deshabilitar el soporte TLS 1.3 de Facebook
• Habilitar proxy para solicitudes API de plataforma
• Usar certificados instalados por el usuario
"Elija no usar TLS 1.3 para permitirle trabajar con proxies como Burp o Charles que actualmente solo admiten hasta TLS 1.2", dice Facebook.
La configuración de Whitehat no es visible para todos de forma predeterminada. En su lugar, los investigadores tienen que habilitar explícitamente esta función para sus aplicaciones de Android desde una interfaz web en el sitio web de Facebook, como se muestra arriba.
"Para garantizar que la configuración se muestre en cada aplicación móvil, le recomendamos que cierre sesión en cada aplicación móvil, cierre la aplicación, luego abra la aplicación y vuelva a iniciar sesión. El proceso de inicio de sesión buscará la nueva configuración y las actualizaciones de configuración que acaba de realizar. Solo necesita hacer esto una vez, o siempre que realice cambios en estas configuraciones", dice Facebook.
Una vez habilitada, verás un banner en la parte superior de tu aplicación (Facebook, Messenger o Instagram) que indica que están habilitadas las pruebas de red y que tu tráfico puede ser monitoreado.
Si deseas probar las vulnerabilidades de seguridad de la aplicación de Instagram utilizando las nuevas configuraciones de Whitehat, se te recomienda primero vincular tu aplicación de Instagram con tu aplicación de Facebook.
Debes tenerse en cuenta que la configuración de Whitehat no está destinada a ser utilizada por todos, ya que reduce la seguridad de las aplicaciones de Facebook instaladas en el dispositivo.
"Para la seguridad de su cuenta, le recomendamos que desactive estas configuraciones cuando no esté probando nuestra plataforma para encontrar las vulnerabilidades de recompensas de errores de Whitehat", dice la red social.
