Con el pretexto de proteger la
seguridad de sus usuarios, Facebook ha habilitado una serie de opciones
especiales, orientadas a entusiastas de la seguridad informática, que facilita
la búsqueda de fallos de seguridad en sus aplicaciones.
Aquellas características de sus
aplicaciones diseñadas para asegurar la integridad y confidencialidad del
tráfico generado suponían un obstáculo para los investigadores de la seguridad
informática, que encontraban serias dificultades a la hora de analizar e
interceptar el tráfico proveniente de estas aplicaciones con el objetivo de
encontrar vulnerabilidades del lado del servidor.
Las denominadas opciones “whitehat”
permiten, entre otras cosas, deshabilitar el soporte de Facebook a TLS 1.3,
activar un proxy para analizar las peticiones a la API o usar certificados
instalados por el usuario.
Esto permitiría, por ejemplo, el uso
de la conocida aplicación Burpsuite para interceptar, analizar y replicar
tráfico, que actualmente funciona con TLS 1.2.
Estas opciones no están por defecto
visibles para el usuario. Es necesario que el usuario habilite, en la interfaz
web propuesta por Facebook, las opciones especiales para las aplicaciones de
Android.
Una vez habilitadas, puede
visualizarse un aviso en la parte superior de la pantalla, durante la ejecución
de la aplicación, ya sea Facebook, Instagram o Messenger, indicando que los
tests de red están activos y que el tráfico puede ser monitorizado. Por otra
parte, es necesario vincular el resto de aplicaciones a la app de Facebook para
que funcione correctamente. El siguiente vídeo muestra cómo configurar la
aplicación para funcionar a través de un proxy (típicamente Burpsuite) para
analizar el tráfico generado.
Facebook especifica y advierte que el
uso de estas opciones no está recomendado al usuario medio, en tanto que el
dispositivo queda temporalmente configurado de un modo inseguro. Igualmente, se
recomienda que esta configuración quede deshabilitada una vez que se hayan
realizado las pruebas pertinentes por parte del investigador.
Fuente:Hispasec.com