Facebook, platformunda, hata ödül avcılarının Facebook, Messenger ve Instagram Android uygulamalarında güvenlik kusurlarını bulmasını kolaylaştırmak için tasarlanmış yeni bir özellik tanıttı.
Facebook'a ait neredeyse tüm uygulamalar, varsayılan olarak trafiğin bütünlüğünü ve gizliliğini sağlamak için sertifika sabitleme gibi güvenlik mekanizmalarını kullandığından, beyaz şapka korsanlarının ve güvenlik araştırmacılarının sunucu tarafı güvenlik açıklarını bulmak için ağ trafiğini engellemelerini ve analiz etmelerini zorlaştırıyor.
Farkında olmayanlar için anlatmak gerekirse; Sertifika Sabitleme, bir uygulamanın kullanıcılarının sahte SSL sertifikaları sunan sitelerin tüm bağlantılarını otomatik olarak reddederek kullanıcıların ağ tabanlı saldırıların kurbanı olmalarını önlemek için tasarlanmış bir güvenlik mekanizmasıdır.
"White Hat Ayarları" olarak adlandırılan yeni seçenek, araştırmacıların Facebook'un sahip olduğu mobil uygulamalardaki Sertifika Sabitlemeyi atlayarak aşağıdakileri kolayca gerçekleştirmelerini sağlıyor:
- Facebook'un TLS 1.3 desteğini devre dışı bırakma
- Platform API istekleri için proxy'yi etkinleştirme
- Kullanıcının yüklediği sertifikaları kullanma
Facebook, “Şu anda yalnızca TLS 1.2'yi destekleyen Burp veya Charles gibi proxy'lerle çalışmanıza izin vermek için TLS 1.3 kullanmamayı seçin” dedi.
Whitehat ayarları varsayılan olarak açık değil ve herkes tarafından görülememekte. Android uygumalarında bu arayüzü aktif hale getirmek için Facebook web sitesindeki bir sayfadan etkinleştirmeniz gerekmekte.
Etkinleştirildikten sonra, uygulamanızın en üstünde (Facebook, Messenger veya Instagram) ağ testinin etkinleştirildiğini ve trafiğinizin izlenebileceğini belirten bir banner görürsünüz.
Instagram uygulamasını yeni başlatılan Whitehat Ayarlarını kullanarak güvenlik açıkları açısından test etmek istiyorsanız, önce Instagram uygulamanızı Facebook uygulamanızla ilişkilendirmeniz öneriliyor.
Whitehat Ayarlarının, cihazınızda yüklü olan Facebook uygulamalarının güvenliğini azalttığı için herkesin kullanımına yönelik olmadığı unutulmamalıdır.
thehackersnews'dan alıntıdır.
Hiç yorum yok:
Yorum Gönder