È arrivata un’importante concessione da parte di Facebook per coloro che si occupano di sicurezza informatica. La società di Mark Zuckerberg ha presentato la nuova funzionalità Impostazioni Whitehat che permette ai ricercatori di disattivare temporaneamente i controlli esercitati dal meccanismo di certificate pinning.
Tale strumento protegge il traffico gestito dalle applicazioni di Facebook ed evita che possa essere in qualche modo monitorato da parte di terzi. In particolare, il certificate pinning consente di accertarsi circa “la bontà” dei certificati digitali utilizzati durante una conversazione attivata su un canale cifrato. In questo modo un eventuale aggressore non può sostituire un certificato legittimo con un altro apparentemente valido ma non autorizzato.
Attivando le Impostazioni Whitehat, Facebook disattiverà intenzionalmente il meccanismo di certificate pinning cosicché gli esperti di sicurezza possano intercettare, “sniffare” e analizzare il traffico da e verso le app del social network in blu (vedere Wireshark, una breve guida all’uso e Monitorare il funzionamento delle applicazioni con Charles).
Facebook spiega che la decisione di permettere la disattivazione del certificate pinning è stata presa per facilitare il lavoro dei ricercatori e permette loro la segnalazione responsabile di nuove vulnerabilità di sicurezza nell’ambito del programma Bug bounty.
La possibilità, inoltre, sarà accordata solamente agli utenti di Android (sulla versione principale di Facebook, su Facebook Messenger e su Instagram) mentre l’accesso alle Impostazioni Whitehat non sarà possibile sui dispositivi iOS.
È comunque possibile attivare la medesima funzione anche dal pannello web di Facebook, facendo riferimento a questa pagina.
Ovviamente Facebook raccomanda di disattivare la funzionalità non appena concluse le attività di verifica perché, lasciandola attivata, terze parti e utenti non autorizzati potrebbero accedere alle informazioni personali dell’utente.
Facebook ha da sempre teso la mano ai ricercatori “whitehat” ovvero a quei soggetti che contribuiscono al miglioramento del social network segnalando in modo responsabile, quindi senza provocare alcun danno, senza riutilizzare le informazioni di terzi, senza finalità di arricchimento personale, eventuali bug di sicurezza scoperti all’interno della piattaforma.
Questo tipo di attività viene premiato con la corresponsione di premi in denaro di importo variabile (fino a 40.000 dollari per ciascuna segnalazione).