Facebook上周向漏洞研究人员做出了重大让步,向Facebook帐户添加了特殊设置以适应白帽安全性研究。
这个名为“白帽设置”的新选项引入了一种机制,安全研究人员可以通过该机制绕过Facebook的“证书固定”安全机制。
证书固定通常可以保护源自Facebook移动应用程序的流量免受嗅探操作。但是据Facebook称,当安全研究人员打开“ Whitehat Settings”选项时,Facebook会故意破坏该帐户的“证书固定”机制,以便研究人员可以拦截,嗅探和分析源自内部的流量。
Facebook 表示,应安全研究人员的要求,他们实施了“白帽设置”(Whitehat Settings)选项,这些人很难绕过“证书固定”安全措施。
Facebook推出了“白帽设置”,以帮助分析其移动应用中的流量(用于#安全性 #漏洞测试)。要做的事真酷!https://t.co/AV6KSdzX16 #infosec #bugbounty
-Arif Khan(@payloadartist)2019年3月23日
可以在Facebook的主应用程序,Messenger即时消息客户端和Instagram应用程序上启用“白帽设置”选项。它仅在Facebook的Android应用程序上受支持,而在其iOS客户端上不受支持。
启用该功能后,它还将具有其自己的设置,例如,用于Facebook Platform API交互的内置代理,禁用Facebook的TLS 1.3支持的功能以及使用用户安装的证书的选项,以简化流量拦截。
可以通过访问此Facebook设置页面来启用“白帽设置”功能,并在此支持页面上获得更多详细信息和视频教程。
Facebook建议安全研究人员在停止测试漏洞后立即关闭此功能,因为这也会削弱帐户的总体安全状况。
FACEBOOK一直喜欢白帽研究人员
Facebook修改其官方应用程序以支持和帮助Whitehat安全性研究也就不足为奇了。Facebook一直是信息安全社区的友好合作伙伴,是为数不多的管理自己的漏洞赏金计划的公司之一,定期提供大笔支出,并经常开源许多以安全性为中心的工具。
继去年的剑桥分析公司(Cambridge Analytica)丑闻之后,Facebook加大了工作力度,以改善其主要平台和移动应用程序以及相邻第三方应用程序生态系统的安全性。
自去年三月以来,Facebook开始向研究人员提供重大的漏洞赏金,这些研究人员发现了流行的Facebook第三方应用程序和游戏中用户数据的暴露情况。
自9月以来,该社交网络还扩展了其漏洞赏金计划,为发现第三方服务暴露Facebook用户访问令牌的案例提供奖励。
两个月后的11月,Facebook还开始向发现漏洞导致帐户被盗的研究人员提供高达40,000美元的奖励。