instagram

Nouveaux paramètres facilitent le pentest de Facebook et Instagram

Facebook a présenté une nouvelle fonctionnalité qui a été conçu pour faciliter le travail des chasseurs de bug bounty qui sont chargés de trouver des failles de sécurité dans les applications Facebook, Messenger et Instagram sur Android.

Vu que toutes les applications appartenant à Facebook utilisent des mécanismes de sécurité comme le HTTP Public Key Pinning pour assurer l’intégrité et la confidentialité du trafic, cela rend les choses plus compliquées pour les hackers white hat et les chercheurs en sécurité pour intercepter et analyser le trafic du réseau et trouver des vulnérabilités côté-serveur.

Le HTTP Public Key Pinning est un mécanisme de sécurité conçu pour empêcher les utilisateurs d’une application d’être victime d’une attaque réseau en rejetant automatiquement les demandes de connexion vers les sites qui utilisent des faux certificats SSL.

Nommé “Paramètres Whitehat,” cette nouvelle option permet aux chercheurs de contourner le Certificate Pinning sur les applications Facebook en:

  • Désactivant le support TLS 1.3 de Facebook
  • Activant le proxy pour les requêtes de la Plateforme API requests
  • Utilisant les certificat installé par l’utilisateur
facebook whitehat setting hackers

Les paramètres Whitehat ne sont pas visibles par défaut. Les chercheurs doivent explicitement activer cette fonctionnalité pour leurs applications Android à partir de l’interface web du site Facebook.

Après être activé, vous verrez une bannière au sommet de votre application (Facebook, Messenger ou Instagram) indiquant que le test réseau est activé et que votre trafic peut être surveillé.

Si vous voulez tester l’application Instagram en utilisant les paramètres Whitehat, vous devez lier votre application Instagram avec votre application Facebook.

Il faut précisé que les paramètres Whitehat ne sont pas pour tout le monde car cela réduit la sécurité des applications Facebook installées sur votre appareil.

“Pour la sécurité de votre compte, nous vous conseillons de désactiver ces paramètres quand vous n’êtes pas en train de tester la sécurité de la plateforme,” a déclaré Facebook.

Laisser un commentaire