新设置让黑客可以轻松测试Facebook、Instagram和移动应用程序

由于几乎所有Facebook拥有的应用默认使用证书固定等安全机制来确保流量的完整性和机密性，因此白帽黑客和安全研究人员更难拦截和分析网络流量，以发现服务器端安全漏洞。

对于那些不知道的人来说，证书固定是一种安全机制，旨在通过自动拒绝来自提供虚假SSL证书的站点的整个连接，防止应用程序的用户成为基于网络的攻击的受害者。
被称为“白帽设置“新选项现在让研究人员可以通过以下方式轻松绕过Facebook拥有的移动应用上的证书锁定：

• 禁用Facebook的TLS 1.3支持
• 为平台API请求启用代理
• 使用用户安装的证书

Facebook表示：“选择不使用TLS 1.3，以允许您使用Burp或Charles等目前仅支持TLS 1.2的代理。”。
默认情况下，Whitehat设置对每个人都不可见。相反，研究人员必须在Facebook网站的一个web界面上为他们的Android应用程序显式启用此功能，如图所示。

 

Facebook表示：“为了确保每个移动应用程序中都显示设置，我们建议您从每个移动应用程序注销，关闭应用程序，然后打开应用程序并再次登录。登录过程将获取您刚刚进行的新配置和设置更新。您只需执行一次，或者在更改这些设置时执行一次”。 一旦启用，你会在应用程序（Facebook、Messenger或Instagram）顶部看到一条横幅，表明网络测试已启用，你的流量可能会受到监控。

如果您想使用最新发布的Whitehat设置测试Instagram应用程序的安全漏洞，建议您首先将Instagram应用程序与Facebook应用程序链接。
需要注意的是，Whitehat设置并不适合所有人使用，因为它会降低安装在设备上的Facebook应用程序的安全性。

 

社交媒体称：“为了您帐户的安全，我们建议在不测试我们的平台以发现Whitehat bug赏金漏洞时关闭这些设置”。

你觉得这个新环境怎么样？请在下面的评论框中告知我们。