Nová možnosť „Whitehat Settings“ dostupná v aplikáciách Facebook, Messenger a Instagram pre Android.
Facebook urobil minulý týždeň významný ústupok výskumníkom v oblasti zraniteľnosti tým, že pridal špeciálne nastavenie k účtom na Facebooku, aby vyhovoval bezpečnostnému výskumu whitehat.
Nová možnosť s názvom „Whitehat Settings“ predstavuje mechanizmus, pomocou ktorého môžu bezpečnostní výskumníci obísť bezpečnostný mechanizmus Certificate Pinning od Facebooku.
Pripnutie certifikátu zvyčajne chráni návštevnosť pochádzajúcu z mobilných aplikácií Facebooku pred operáciami sniffovania. Ale podľa Facebooku, keď bezpečnostní výskumníci zapnú možnosť „Whitehat Settings“, Facebook to úmyselne poruší Mechanizmus pripínania certifikátov pre tento účet, takže výskumník môže zachytiť, zachytiť a analyzovať návštevnosť pochádzajúcu z v rámci.
Facebook povedal implementovala možnosť „Whitehat Settings“ na príkaz bezpečnostných výskumníkov, ktorí mali problém obísť bezpečnostné opatrenie Certificate Pinning.
Facebook spustil „Nastavenia Whitehat“, aby pomohol analyzovať návštevnosť vo svojich mobilných aplikáciách (napr #bezpečnosť#zraniteľnosť testovanie). Skvelá vec!https://t.co/AV6KSdzX16#infosec#bugbounty
— Arif Khan (@payloadartist) 23. marca 2019
Možnosť „Whitehat Settings“ je možné povoliť v hlavnej aplikácii Facebooku, jej klientovi na odosielanie okamžitých správ Messenger a aplikácii Instagram. Podporujú ho iba aplikácie Facebooku pre Android, ale nie jeho klienti iOS.
Keď je funkcia povolená, prichádza aj s vlastnými nastaveniami, ako je napríklad vstavaný proxy pre interakcie Facebook Platform API, možnosť zakázať podporu TLS 1.3 Facebooku a možnosť použiť certifikáty nainštalované používateľom pre jednoduchšiu prevádzku odpočúvanie.
Funkciu „Whitehat Settings“ je možné povoliť na stránke túto stránku nastavení Facebooku, s ďalšími podrobnosťami a videonávodmi túto stránku podpory.
Facebook odporúča bezpečnostným výskumníkom, aby túto funkciu vypli hneď, ako prestanú testovať zraniteľnosti, pretože to tiež oslabuje celkový stav zabezpečenia účtu.
Facebook vždy miloval výskumníkov whitehat
Nie je žiadnym prekvapením, že Facebook upravil svoje oficiálne aplikácie tak, aby podporovali a pomáhali bezpečnostnému výskumu whitehat. Facebook mal vždy priateľský prístup ku komunite infosec a bol jednou z mála spoločností, ktoré ju riadia vlastný bug bounty program, ktorý pravidelne ponúka veľké výplaty a často s otvoreným zdrojom mnohých nástrojov zameraných na bezpečnosť.
Po minuloročnom škandále Cambridge Analytica Facebook zintenzívnil svoje úsilie o zlepšenie bezpečnosti svojej hlavnej platformy a mobilných aplikácií, ale aj susedného ekosystému aplikácií tretích strán.
Od marca minulého roka začal Facebook vyplácať významné odmeny za chyby výskumníkom, ktorí objavia odhalenie údajov o používateľoch v populárnych aplikáciách a hrách tretích strán na Facebooku.
Od septembra sociálna sieť tiež rozšírila svoj bug bounty program o ponúkanie odmien za nájdenie prípadov, keď služby tretích strán vystavené prístupové tokeny používateľov Facebooku.
O dva mesiace neskôr, v novembri, začal Facebook ponúkať odmeny až do výšky 40 000 dolárov výskumníkom, ktorí nájdu slabé miesta, ktoré viesť k prevzatiu účtov.
Najhoršie škandály v oblasti súkromia a dátové katastrofy na Facebooku
Súvisiace pokrytie kybernetickej bezpečnosti:
- Auto Tesla hacknuté v súťaži Pwn2Own
-
Ekosystém predinštalovaných aplikácií pre Android predstavuje neporiadok v oblasti ochrany súkromia a bezpečnosti
- Výskumníci našli 36 nových bezpečnostných chýb v protokole LTE
- Viac ako 100 000 repo GitHub uniklo API alebo kryptografické kľúče
- V populárnej knižnici PHP na vytváranie súborov PDF sa našla závažná bezpečnostná chyba
-
Napadnuté sirény tornáda stiahnuté do režimu offline v dvoch mestách Texasu pred veľkou búrkou
- Škandál ochrany osobných údajov Facebook-Cambridge Analytica: Vaše údaje stále nie sú v bezpečí TechRepublic
- Bezpečnostný program pre Android pomohol opraviť viac ako 1 milión aplikácií v Google Play CNET