Facebook đã giới thiệu một tính năng mới trong nền tảng của nó, được thiết kế để giúp những người săn tiền thưởng dễ dàng tìm thấy các lỗi bảo mật trong Facebook, Messenger và ứng dụng Android của Instagram.
Do hầu hết tất cả các ứng dụng do Facebook sở hữu đều sử dụng các cơ chế bảo mật như Certificate Pinning chỉ để đảm bảo tính toàn vẹn và bảo mật của lưu lượng truy cập, khiến các hacker và nhà nghiên cứu bảo mật khó khăn hơn trong việc chặn và phân tích lưu lượng mạng để tìm lỗ hổng bảo mật phía máy chủ.
Đối với những người không biết, Certificate Pinning là một cơ chế bảo mật được thiết kế để ngăn người dùng ứng dụng trở thành nạn nhân của các cuộc tấn công dựa trên mạng bằng cách tự động từ chối toàn bộ kết nối từ các trang web cung cấp chứng chỉ SSL không có thật.
Được đặt tên là ” Whitehat Settings” , tùy chọn mới hiện cho phép các nhà nghiên cứu dễ dàng bỏ qua Certificate Pinning trên các ứng dụng di động do Facebook sở hữu bằng cách:
- Vô hiệu hóa hỗ trợ TLS 1.3 của Facebook
- Kích hoạt proxy cho các yêu cầu API nền tảng
- Sử dụng chứng chỉ do người dùng cài đặt
“Chọn không sử dụng TLS 1.3 để cho phép bạn làm việc với các proxy như Burp hoặc Charles hiện chỉ hỗ trợ tối đa TLS 1.2”, Facebook nói.
Cài đặt Whitehat không hiển thị cho mọi người theo mặc định. Thay vào đó, các nhà nghiên cứu phải kích hoạt rõ ràng tính năng này cho các ứng dụng Android của họ từ giao diện web trên trang web của Facebook, như được hiển thị.
“Để đảm bảo cài đặt hiển thị trong mỗi ứng dụng dành cho thiết bị di động, chúng tôi khuyên bạn nên đăng xuất từ mỗi ứng dụng di động, đóng ứng dụng, sau đó mở ứng dụng và đăng nhập lại. Quá trình đăng nhập sẽ tìm nạp cấu hình mới và cài đặt các bản cập nhật bạn vừa có đã thực hiện. Bạn chỉ cần thực hiện việc này một lần hoặc bất cứ khi nào bạn thay đổi các cài đặt này “, Facebook nói .
Sau khi được bật, bạn sẽ thấy một biểu ngữ ở đầu ứng dụng của bạn (Facebook, Messenger hoặc Instagram) cho biết rằng kiểm tra mạng đã được bật và lưu lượng truy cập của bạn có thể được theo dõi.
Nếu bạn muốn kiểm tra ứng dụng Instagram về các lỗ hổng bảo mật bằng cách sử dụng Cài đặt Whitehat mới ra mắt, trước tiên bạn nên liên kết ứng dụng Instagram của mình với ứng dụng Facebook.
Cần lưu ý rằng Cài đặt Whitehat không dành cho mọi người sử dụng, vì nó làm giảm tính bảo mật cho các ứng dụng Facebook được cài đặt trên thiết bị của bạn.
“Để bảo mật tài khoản của bạn, chúng tôi khuyên bạn nên tắt các cài đặt này khi không kiểm tra nền tảng của chúng tôi để tìm lỗ hổng tiền thưởng lỗi Whitehat”, phương tiện truyền thông xã hội nói.
Bạn cảm thấy thế nào về thiết lập mới này? Hãy cho chúng tôi biết trong phần bình luận bên dưới.