Le nuove impostazioni FB rendono facile per gli hacker analizzare le tue app mobili

Facebook introduce la funzione “Impostazioni Whitehat” per aiutare i cacciatori di bug ad analizzare il traffico sulle loro app mobili

La scorsa settimana, Facebook ha aggiunto una nuova funzione “Impostazioni Whitehat” che consente ai cacciatori di bug di analizzare facilmente la sicurezza delle applicazioni Facebook, Messenger e Instagram per Android. Questa funzione consente ai ricercatori di sicurezza di aggirare la misura di sicurezza del blocco dei certificati di Facebook.

Per chi non lo sapesse, Certificate Pinning è progettato per garantire la sicurezza della trasmissione dei dati degli utenti di Facebook e impedire loro di cadere vittime di attacchi basati sul Web rifiutando automaticamente i collegamenti da siti Web che utilizzano credenziali SSL. Poiché quasi tutte le app di proprietà di Facebook utilizzano il blocco dei certificati per impostazione predefinita, i ricercatori di Whitehat hanno riscontrato difficoltà nel testare le app mobili di proprietà di Facebook per le vulnerabilità della sicurezza lato server.

Con l’introduzione della nuova opzione, i ricercatori possono ora facilmente aggirare il blocco dei certificati sulle app mobili di proprietà di Facebook come l’app principale di Facebook, il suo client di messaggistica istantanea Messenger e l’app Instagram:

  • Disabilita il supporto di Facebook TLS 1.3
  • Abilitazione del proxy per le richieste API della piattaforma (si applica solo a Facebook su Android)
  • Utilizzo di certificati installati dall’utente per facilitare l’intercettazione del traffico

“Scegli di non utilizzare TLS 1.3 per consentirti di lavorare con proxy come Burp o Charles, che attualmente supportano solo fino a TLS 1.2”, afferma Facebook. “Queste impostazioni sono configurate in due punti. Il primo è attraverso l’interfaccia utente web e il secondo è attraverso l’interfaccia utente dell’applicazione. In altre parole, per accedere a queste impostazioni dal tuo dispositivo mobile, devi prima abilitarle dal tuo account Facebook via Web”, afferma Facebook.

La nuova funzionalità consentirà ai cacciatori di bug di Whitehat di analizzare il traffico di rete relativo alle app di Facebook, Messenger e Instagram durante la ricerca di vulnerabilità e di segnalarle tramite il programma bug bounty dell’azienda.

Se vuoi sfruttare la funzione “Impostazioni Whitehat”, puoi farlo visitando Pagina delle impostazioni di Facebook. Puoi anche trovare ulteriori dettagli e tutorial video su questo Pagina di supporto.

Il gigante dei social media consiglia inoltre ai cacciatori di bug Whitehat di disabilitare le impostazioni quando non stanno testando il sito Web di Facebook per le vulnerabilità della sicurezza.

Attualmente, la funzione delle impostazioni di Whitehat è supportata solo sulle app Android di Facebook e non sulla piattaforma iOS.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *