Nuova funzione per testare Facebook, Messenger e Instagram
Facebook è il social network in assoluto più utilizzato, l’app è sempre una delle più scaricate assieme a Messenger e Instagram. Ciò lo rende una vittima quanto mai succulenta per gli hacker. È per questo che Zuckerberg e co. sono sempre alla ricerca di nuovi modi per garantire la sicurezza dei 2 miliardi di utenti che usano Facebook, e dei milioni e milioni che utilizzano Messenger e Instagram. Con il nuovo aggiornamento Facebook ha introdotto una nuova funzione che dovrebbe rendere le cose più semplici ai cacciatori di bug, sia su Facebook che su Messenger e Instagram: si chiama Whitehead, e si presenta come rivoluzionaria per i ricercatori.
Il ruolo del Certificate Pinning nella sicurezza di Facebook
Dal momento che quasi tutte le app di proprietà di Facebook usano meccanismi di sicurezza quali il Certificate Pinning, al fine di assicurare l’integrità dell’app e la confidenzialità delle informazioni condivise dagli utenti oltre che dei dati sulla navigazione, gli hacker hanno finora avuto vita difficile nel cercare di intercettare e analizzare il traffico Internet alla ricerca di vulnerabilità.
Per coloro che non lo sapessero, Certificate Pinning è un meccanismo studiato apposta per prevenire attacchi alla rete: ciò è possibile rifiutando la connessione a siti che non presentino il certificato SSL: il famoso lucchetto sulla sinistra, per intenderci.
La funzione Whitehead
Soprannominata “Whitehead”, la nuova funzione lanciata da Facebook implementa queste misure di sicurezza offrendo ai ricercatori la possibilità di bypassare il Certificate Pinning sull’app Facebook. Questo è possibile:
- Disabilitando il supporto TLS 1.3 di Facebook
- Abilitando richieste proxy per le piattaforme API
- Usando certificati installati dall’utente
“Scegliere di non usare TLS 1.3 permette di sfruttare proxy come Burp e Charles, i quali al momento supportano soltanto TLS 1.2”, afferma Facebook.
Come funziona Whitehead?
La funzione Whitehead non è di per sé visibile. Al fine di notarla, i ricercatori devono attivare manualmente la funzione per smartphone dall’interfaccia web di Facebook.
“Al fine di assicurarsi che la funzione sia stata abilitata su tutte le app, suggeriamo di fare log out da tutte, chiudere tutte le applicazioni, riaprirle, quindi rifare il login. Questo semplice provvedimento configurerà le nuove impostazioni e aggiornamenti automaticamente. Bisogna farlo solo una volta, o comunque nel caso in cui si modifichino le impostazioni,” dice Facebook.
Una volta che le impostazioni Whitehead sono state abilitate, dovrebbe uscire un banner in cima all’app (Facebook, Messenger, o Instagram): quel banner sta a indicare che la rete viene testata e il traffico verrà monitorato.
Se si intende testare l’app di Instagram con Whitehead, alla ricerca di eventuali vulnerabilità, occorre prima di tutto collegare il proprio account Instagram a quello di Facebook. Poiché la sicurezza e la privacy però sono sempre a rischio in questi casi, Facebook consiglia: “Al fine di garantire la sicurezza degli account, suggeriamo di disabilitare la funzione quando non si intende testare le app in questione”.
Swascan Marketing Team