Facebook、セキュリティ研究者向けに「ホワイトハット設定」を提供

　Facebookは米国時間3月23日、脆弱性の研究者に対し大きな譲歩をした。ホワイトハット（善玉）研究者のセキュリティ調査向けの特別な設定をFacebookアカウントに追加したのだ。

提供：Facebook

　新しい設定は「Whitehat Settings」（ホワイトハット設定）という名称で、Facebookが採用している「Certificate Pinning」（証明書のピン留め）というセキュリティの仕組みを、セキュリティ研究者が回避できる仕組みを導入するものだ。

　通常は、Certificate PinningがFacebookのモバイルアプリから発生するトラフィックをスニッフィングから保護している。しかし、Facebookによると、セキュリティ研究者が「Whitehat Settings」をオンにした場合、FacebookがそのアカウントについてはCertificate Pinningを意図的に中断し、研究者はアプリから生じるトラフィックの傍受、スニッフィング、分析をできるようになるという。

　Facebookでは、「Whitehat Settings」オプションを実装した理由について、Certificate Pinningを回避するのに苦労しているセキュリティ研究者たちから強い要請があったためだと説明している。

　「Whitehat Settings」を有効にできるのは、メインの「Facebook」、インスタントメッセージクライアントの「Messenger」、および「Instagram」の各アプリとなる。なお、この設定に対応するのはAndroid版アプリだけで、iOS版は対応していない。

　この設定を有効にすると、Facebook Platform APIのやり取りのための組み込みプロキシ、FacebookのTLS 1.3サポートを無効にする機能、トラフィックの傍受を容易にするためのユーザーがインストールした証明書を使うオプションなども、独自に設定できるようになる。

提供：ZDNet

　アカウントの全体的なセキュリティ態勢も弱まることから、脆弱性テストを終えた後は速やかにこの機能をオフにするよう、Facebookはセキュリティ研究者に促している。