Разработчики Facebook добавили в свои приложения для Android опцию, упрощающую анализ исходящего трафика этичными хакерами. Специальные настройки отключают ограничения безопасности, препятствующие перехвату пакетов данных, и позволяют исследователям эффективнее искать уязвимости в программных продуктах компании. О возможности появления такой опции в приложениях для iOS не сообщается.

Раздел Whitehat Settings стал доступен в настройках Android-приложений Facebook, Instagram и Messenger. Он позволяет управлять параметрами безопасности, затрудняющими анализ данных, передаваемых между программой и сервером. Настройки дают возможность этичному хакеру на 24 часа установить свой собственный сертификат безопасности, использовать отдельный прокси-сервер для подключения к API, а также отказаться от шифрования канала по стандарту TLS 1.3.

После установки параметров необходимо выгрузить приложение из памяти устройства и повторно запустить его, чтобы изменения вступили в силу. О том, что программа работает в незащищенном режиме, будет сигнализировать небольшой красный баннер в верхней части экрана. Разработчики Facebook рекомендуют отключить опции Whitehat Settings сразу после окончания исследования, поскольку они делают программу уязвимой для атак злоумышленников.

Ранее этичным хакерам приходилось самостоятельно обходить ограничения приложения, защищающие трафик от перехвата. Отключение закрепленного сертификата безопасности упрощает работу исследователей и, по мнению специалистов, упростит поиск уязвимостей в мобильных приложениях Facebook.

Социальная сеть поддерживает одну из самых щедрых программ Bug  Bounty в ИТ-сфере. В ноябре прошлого года компания объявила об увеличении размеров максимальных вознаграждений этичным хакерам. Представители Facebook готовы выплатить до $40 тыс. за информацию о способах взлома аккаунта без взаимодействия с пользователем. В тех случаях, когда эксплуатация бага требует участия владельца профиля, вознаграждение может составить $25 тыс.

Категории: Кибероборона