Компания Facebook реализовала новые функции, облегчающие процесс тестирования безопасности мобильных приложений. Для защиты передачи данных между приложениями Facebook, запущенными на устройстве пользователя, и сервером компании используется так называемое закрепление сертификата (certificate pinning) и другие механизмы безопасности. Благодаря этим механизмам данные пользователей надежно защищены, однако они существенно усложняют исследователям поиск уязвимостей в приложениях Facebook на стороне сервера.
В связи с этим компания решила прислушаться к просьбам «белых хакеров» и реализовала новые функции, позволяющие в процессе поиска уязвимостей анализировать сетевой трафик приложений Facebook, Messenger и Instagram.
Исследователи могут включить новые функции в своих учетных записях – сначала в web-версии Facebook, а затем в мобильной. Когда функции будут активированы, в меню выбранного приложения появится соответствующая кнопка. В верхней части экрана также появится уведомление, предупреждающее о возможном мониторинге трафика. Facebook рекомендует включать функции только на время проведения тестирования безопасности.
В декабре прошлого года Facebook сообщила, что в рамках программы по выплате вознаграждения исследователям безопасности в 2018 году компания выплатила в общей сложности $1,1 млн. С момента запуска программы в 2011 году Facebook выплатила исследователям $5,7 млн.
