Tính năng cài đặt này giúp chuyên gia dễ kiểm tra ứng dụng di động Facebook và Instagram

Facebook vừa giới thiệu một tính năng mới trên nền tảng mạng xã hội của mình, được thiết kế nhằm giúp cho các dân công nghệ tìm kiếm lỗ hổng bảo mật có trên ứng dụng di động Facebook, Messenger và Instagram.

Hầu hết các ứng dụng trực thuộc Facebook đều sử dụng mặc định các cơ chế bảo mật như chứng chỉ Pinning để đảm bảo tính năng toàn vẹn và bảo mật của lưu lượng truy cập, khiến các hacker và nhà nghiên cứu bảo mật khó khăn hơn trong việc chặn và phân tích lưu lượng mạng để tìm lỗ hổng bên phía máy chủ.  Chứng chỉ Pinning này là một cơ chế bảo mật được thiết kế nhằm ngăn người dùng ứng dụng trở thành nạn nhân của các cuộc tấn công mạng dựa trên phương pháp từ chối toàn bộ kết nối từ các trang web cung cấp chứng chỉ SSL không có thật.

Tính năng mới này được gọi là “Whitehat Settings” cho phép các nhà nghiên cứu dễ dàng thông qua chứng chỉ Pinning trên các ứng dụng trực thuộc của Facebook bằng cách:

Tắt hỗ trợ Facebook’s TLS 1.3

Kích hoạt proxy của nền tảng API

Sử dụng các chứng chỉ của người dùng

Chọn không sử dụng TLS 1.3 cho phép bạn làm việc với các proxy như Burp hoặc Charles hiện chỉ hỗ trợ cho TLS 1.2.

Tính năng này không hiển thị với mọi người ở chế độ mặc định. Thay vào đó, các nhà nghiên cứu phải kích hoạt tính năng cho ứng dụng Android từ giao diện Website của Facebook. Theo đó, Facebook cho biết, để bảo đảm tính năng này hiển thị trên từng ứng dụng di động, chúng tôi khuyến khích bạn đăng xuất hỏi từng ứng dụng di động, đóng ứng dụng, sau đó mở ứng dụng và đăng nhập một lần nữa. Quá trình đăng nhập lại sẽ kích hoạt các tùy chọn thiết lập đã thay đổi trên giao diện website. Bạn chỉ cần thực hiện một lần các bước này.

Một khi đã kích hoạt, bạn sẽ thấy một banner trên cùng của ứng dụng của bạn (Facebook, Messenger hoặc Instagram) thông báo rằng hệ thống kiểm tra đã kích hoạt và lưu lượng truy cập của bạn có thể bị kiểm soát.

Nếu bạn muốn kiểm tra Instagram về các lỗ hổng bảo mật sử dụng tính năng Whitehat Settings này, bạn sẽ cần phải kết nối giữa ứng dụng Facebook và Instagram.

Cần lưu ý là tính năng này không dành cho tất cả mọi người, bởi nó có thể giảm mức độ bảo mật trên ứng dụng Facebook cài trên thiết bị.

Minh Hương