New feature to test Facebook, Messenger and Instagram
Facebook is the absolute most used social network, the app is always one of the most downloaded along with Messenger and Instagram. This makes it a very juicy victim for hackers. That's why Zuckerberg and co. are always looking for new ways to ensure the safety of the 2 billion users who use Facebook, and the millions and millions who use Messenger and Instagram. With the new update, Facebook has introduced a new feature that should make things easier for bug hunters, both on Facebook and on Messenger and Instagram: it's called Whitehead, and it looks to be revolutionary for researchers.
Il ruolo del Certificate Pinning nella sicurezza di Facebook
Dal momento che quasi tutte le app di proprietà di Facebook usano meccanismi di sicurezza quali il Certificate Pinning, al fine di assicurare l’integrità dell’app e la confidenzialità delle informazioni condivise dagli utenti oltre che dei dati sulla navigazione, gli hacker hanno finora avuto vita difficile nel cercare di intercettare e analizzare il traffico Internet alla ricerca di vulnerabilità.
Per coloro che non lo sapessero, Certificate Pinning è un meccanismo studiato apposta per prevenire attacchi alla rete: ciò è possibile rifiutando la connessione a siti che non presentino il certificato SSL: il famoso lucchetto sulla sinistra, per intenderci.
La funzione Whitehead
Soprannominata "Whitehead", la nuova funzione lanciata da Facebook implementa queste misure di sicurezza offrendo ai ricercatori la possibilità di bypassare il Certificate Pinning sull’app Facebook. Questo è possibile:
- Disabilitando il supporto TLS 1.3 di Facebook
- Abilitando richieste proxy per le piattaforme API
- Usando certificati installati dall’utente
"Scegliere di non usare TLS 1.3 permette di sfruttare proxy come Burp e Charles, i quali al momento supportano soltanto TLS 1.2", afferma Facebook.
Come funziona Whitehead?
La funzione Whitehead non è di per sé visibile. Al fine di notarla, i ricercatori devono attivare manualmente la funzione per smartphone dall’interfaccia web di Facebook.
"Al fine di assicurarsi che la funzione sia stata abilitata su tutte le app, suggeriamo di fare log out da tutte, chiudere tutte le applicazioni, riaprirle, quindi rifare il login. Questo semplice provvedimento configurerà le nuove impostazioni e aggiornamenti automaticamente. You only need to do this once, or in any case in case you change the settings," says Facebook.
Once the Whitehead settings have been enabled, a banner should pop up at the top of the app (Facebook, Messenger, or Instagram): that banner is indicating that the network is being tested and traffic will be monitored.
If you intend to test your Instagram app with Whitehead, looking for any vulnerabilities, you should first connect your Instagram account to your Facebook account. However, since security and privacy are always at risk in such cases, Facebook advises, "In order to ensure account security, we suggest disabling the feature when you don't intend to test the apps in question."
Swascan Marketing Team