Facebook permite realizar test de seguridad contra sus aplicaciones.
Con el pretexto de proteger la seguridad de sus usuarios, Facebook ha habilitado una serie de opciones especiales, orientadas a entusiastas de la seguridad informática, que facilita la búsqueda de fallos de seguridad en sus aplicaciones.
Aquellas características de sus aplicaciones diseñadas para asegurar la integridad y confidencialidad del tráfico generado suponían un obstáculo para los investigadores de la seguridad informática, que encontraban serias dificultades a la hora de analizar e interceptar el tráfico proveniente de estas aplicaciones con el objetivo de encontrar vulnerabilidades del lado del servidor.
Las denominadas opciones “whitehat” permiten, entre otras cosas, deshabilitar el soporte de Facebook a TLS 1.3, activar un proxy para analizar las peticiones a la API o usar certificados instalados por el usuario.
Esto permitiría, por ejemplo, el uso de la conocida aplicación Burpsuite para interceptar, analizar y replicar tráfico, que actualmente funciona con TLS 1.2.
Estas opciones no están por defecto visibles para el usuario. Es necesario que el usuario habilite, en la interfaz web propuesta por Facebook, las opciones especiales para las aplicaciones de Android.
Una vez habilitadas, puede visualizarse un aviso en la parte superior de la pantalla, durante la ejecución de la aplicación, ya sea Facebook, Instagram o Messenger, indicando que los tests de red están activos y que el tráfico puede ser monitorizado. Por otra parte, es necesario vincular el resto de aplicaciones a la app de Facebook para que funcione correctamente. El siguiente vídeo muestra cómo configurar la aplicación para funcionar a través de un proxy (típicamente Burpsuite) para analizar el tráfico generado.
Facebook especifica y advierte que el uso de estas opciones no está recomendado al usuario medio, en tanto que el dispositivo queda temporalmente configurado de un modo inseguro. Igualmente, se recomienda que esta configuración quede deshabilitada una vez que se hayan realizado las pruebas pertinentes por parte del investigador.
Via: unaaldia.hispasec.com