Facebook permite buscar vulnerabilidades de seguridad en sus aplicaciones
Facebook acaba de lanzar una nueva función en su plataforma hecha para que a los cazadores de recompensas de errores les resulte más fácil encontrar vulnerabilidades de seguridad en las aplicaciones de Android de Facebook, Messenger e Instagram.
Debido a que casi todas las aplicaciones de Facebook utilizan de manera predeterminada mecanismos de seguridad como la fijación de certificados para garantizar la integridad y la confidencialidad del tráfico, hace que sea más difícil para los piratas informáticos y los investigadores de seguridad interceptar y analizar el tráfico de la red para encontrar vulnerabilidades de seguridad en el servidor.
Para quienes no lo saben, Certificate Pinning es un mecanismo de seguridad para evitar que los usuarios de una aplicación sean víctimas de ataques que se basen en la red al rechazar automáticamente toda la conexión de los sitios que ofrecen certificados SSL falsos.
Encontrar vulnerabilidades de seguridad con la Configuración Whitehat
Apodada “Configuración Whitehat”, la nueva opción ahora permite a los investigadores omitir fácilmente la Fijación de Certificados en las aplicaciones móviles propiedad de Facebook al:
- Deshabilitar el soporte TLS 1.3 de Facebook
- Habilitar proxy para solicitudes de API de plataforma
- Usar certificados que se instalen por el usuario
“Elije no usar TLS 1.3 para permitirle trabajar con proxies como Burp o Charles que actualmente solo admiten hasta TLS 1.2”, dice Facebook.
La Configuración Whitehat no está para todos de forma predeterminada. En su lugar, los investigadores tienen que habilitar explícitamente esta función para sus aplicaciones de Android desde una interfaz web en el sitio web de Facebook, como se muestra.
“Para garantizar que las configuraciones se muestren en cada aplicación móvil, le recomendamos que cierre sesión en cada aplicación móvil, cierre la aplicación, luego abra la aplicación y vuelva a iniciar sesión. El proceso de inicio de sesión buscará la nueva configuración y las actualizaciones de configuración que acaba de “Solo necesita hacer esto una vez, o siempre que haga cambios en estas configuraciones”, dice Facebook.
Una vez la habilites, verás un banner en la parte superior de su aplicación (Facebook, Messenger o Instagram) que indica que las pruebas de red están habilitadas y que tu tráfico puede monitorearse.
Consejos para usar la Configuración Whitehat
Si quieres probar las vulnerabilidades de seguridad de la aplicación de Instagram utilizando la nueva Configuración Whitehat, primero te recomendamos vincular tu aplicación de Instagram con tu aplicación de Facebook.
Debes tener en cuenta que la Configuración Whitehat no tiene como objetivo ser utilizada por todos, ya que reduce la seguridad de las aplicaciones de Facebook instaladas en tu dispositivo.
“Para la seguridad de su cuenta, le recomendamos que desactive estas configuraciones cuando no esté probando nuestra plataforma para encontrar las vulnerabilidades de seguridad“, dice la red social.
¿Qué te parece esta nueva función? Déjanos saber en la caja de comentarios de abajo. ¡Gracias por leer!