Nuevas configuraciones permiten a los piratas informáticos realizar fácilmente pruebas en las aplicaciones móviles de Facebook e Instagram

facebook whitehat configurando hackers

Facebook ha introducido una nueva característica en su plataforma que ha sido diseñada para facilitar que los cazadores de recompensas de errores encuentren fallas de seguridad en las aplicaciones de Android de Facebook, Messenger e Instagram.

Dado que casi todas las aplicaciones propiedad de Facebook utilizan de forma predeterminada mecanismos de seguridad como la fijación de certificados para garantizar la integridad y la confidencialidad del tráfico, a los hackers de sombrero blanco y a los investigadores de seguridad les resulta más difícil interceptar y analizar el tráfico de red para encontrar vulnerabilidades de seguridad del lado del servidor.

Para aquellos que no lo saben, Certificate Pinning es un mecanismo de seguridad diseñado para evitar que los usuarios de una aplicación sean víctimas de ataques basados ​​en la red al rechazar automáticamente toda la conexión de los sitios que ofrecen certificados SSL falsos.

Doblado «Configuraciones de sombrero blanco«la nueva opción ahora permite a los investigadores eludir fácilmente la fijación de certificados en las aplicaciones móviles propiedad de Facebook al:

  • Deshabilitar el soporte TLS 1.3 de Facebook
  • Habilitación de proxy para solicitudes de API de plataforma
  • Uso de certificados instalados por el usuario

«Elija no usar TLS 1.3 para permitirle trabajar con proxies como Burp o Charles, que actualmente solo admiten hasta TLS 1.2», dice Facebook.

facebook whitehat configurando hackers

La configuración de Whitehat no es visible para todos de forma predeterminada. En su lugar, los investigadores deben habilitar explícitamente esta función para sus aplicaciones de Android desde una interfaz web en el sitio web de Facebook, como se muestra.

«Para asegurarse de que la configuración se muestre en cada aplicación móvil, le recomendamos que cierre sesión en cada aplicación móvil, cierre la aplicación, luego abra la aplicación e inicie sesión nuevamente. El proceso de inicio de sesión obtendrá la nueva configuración y las actualizaciones de configuración que acaba de hacer. Solo necesita hacer esto una vez, o cada vez que realice cambios en esta configuración «, dice Facebook.

Una vez habilitada, verá un banner en la parte superior de su aplicación (Facebook, Messenger o Instagram) que indica que la prueba de red está habilitada y su tráfico puede ser monitoreado.

Si desea probar la aplicación de Instagram en busca de vulnerabilidades de seguridad utilizando la configuración de Whitehat recientemente lanzada, primero se le recomienda vincular su aplicación de Instagram con su aplicación de Facebook.

Cabe señalar que la configuración de Whitehat no está diseñada para que la usen todos, ya que reduce la seguridad de las aplicaciones de Facebook instaladas en su dispositivo.

«Para la seguridad de su cuenta, le recomendamos que desactive esta configuración cuando no esté probando nuestra plataforma para encontrar vulnerabilidades de recompensas por errores de Whitehat», dice la red social.

¿Cómo te sientes acerca de este nuevo escenario? Déjanos saber en la caja de comentarios de abajo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática