Różności i nowinki technologia

Bug w klubie pozwala ludziom czaić się w pokojach niewidocznie

Bug w klubie pozwala ludziom czaić się w pokojach niewidocznie

Sam Whitney | Przewodowy | Getty Images

„Zasadniczo jadę rozmawiać z tobą, ale zniknę ”- powiedziała mi wieloletnia badaczka bezpieczeństwa Katie Moussouris w prywatnym pokoju Klubu w lutym.„ Nadal będziemy rozmawiać, ale mnie nie będzie ”. A potem jej awatar zniknął. Byłam sama, a przynajmniej tak się wydawało. „To wszystko”, powiedziała z zewnątrz. “To jest błąd. Jestem pieprzonym duchem.”

Minął ponad rok od debiutu społecznościowej sieci audio Clubhouse. W tym czasie jego gwałtowny rozwój przyniósł szereg problemów związanych z bezpieczeństwem, prywatnością i nadużyciami. Obejmuje to nowo ujawnioną parę luk w zabezpieczeniach, odkrytych przez Moussouris i teraz naprawionych, które mogły pozwolić napastnikowi czaić się i słuchać w pokoju klubu niezauważenie lub ustnie zakłócać dyskusję poza kontrolą moderatora.

Luka może być również wykorzystana praktycznie bez wiedzy technicznej. Potrzebne były tylko dwa iPhone’y z zainstalowanym Clubhouse i konto Clubhouse. (Klub jest nadal dostępny tylko na iOS.) Aby rozpocząć atak, musisz najpierw zalogować się na swoje konto klubu na telefonie A, a następnie dołączyć do pokoju lub założyć go. Następnie logowałbyś się na swoje konto klubu na telefonie B – co automatycznie wylogowałoby cię z telefonu A – i dołączyłbyś do tego samego pokoju. Tam zaczęły się problemy. Telefon A wyświetlałby ekran logowania, ale nie wylogowałby Cię w pełni. Nadal będziesz mieć połączenie na żywo z pokojem, w którym byłeś. Gdy „opuścisz” ten sam pokój na telefonie B, znikniesz, ale możesz utrzymać połączenie duchowe na telefonie A.

Na ekranie po prawej Moussouris zniknęła, ale jej duch z Klubu pozostał.
Powiększać / Na ekranie po prawej Moussouris zniknęła, ale jej duch z Klubu pozostał.

Lily Hay Newman | Klub

Moussouris odkrył również, że haker mógł przeprowadzić atak lub jego odmiany, korzystając z bardziej technicznych mechanizmów. Ale fakt, że można to zrobić tak łatwo, podkreśla wagę wady. Moussouris nazywa atak podsłuchujący „Stillergeist”, a atak przerywający „Banshee Bombing”.

Ponieważ luka istniała w każdym pokoju, twierdzi, że słabość stanowiła najgorszy scenariusz dla Clubhouse, ponieważ platforma radzi sobie z problemami prywatności, nękaniem, mową nienawiści i innymi nadużyciami. Brak wiedzy, kto podsłuchuje rozmowę lub konieczność zamknięcia pokoju, ponieważ nie możesz powstrzymać niewidzialnej osoby przed mówieniem tego, co chce, to koszmarne sytuacje dla aplikacji do czatu audio.

Po tym, jak Moussouris przedstawiła firmie swoje ustalenia na początku marca, mówi, że Clubhouse nie zareagował natychmiast, a pełne rozwiązanie problemu zajęło kilka tygodni. Ostatecznie Clubhouse wyjaśnił Moussourisowi, że załatał dwa błędy związane z odkryciem. Jedna poprawka sprawiła, że ​​wszyscy uczestnicy duchów byli zawsze wyciszeni i nie słyszeli pokoju, nawet jeśli się w nim unosili, co w zasadzie uwięziło ich w czyśćcu Klubu. Druga poprawka rozwiązała problem z wyświetlaniem pamięci podręcznej, więc użytkownicy są w pełni wylogowywani na starym urządzeniu, jeśli logują się na innym. Moussouris twierdzi, że sama nie zweryfikowała w pełni poprawek, ale wyjaśnienie ma sens.

„Doceniamy współpracę badaczy, takich jak Katie, którzy pomogli nam zidentyfikować kilka błędów w środowisku użytkownika i pozwolili nam szybko rozwiązać te problemy, aby usunąć wszelkie luki, zanim jakikolwiek użytkownik został dotknięty” – powiedział rzecznik klubu Clubhouse w oświadczeniu. „Z zadowoleniem przyjmujemy stałą współpracę ze społecznością zajmującą się bezpieczeństwem i prywatnością w miarę dalszego rozwoju”.

Moussouris czekała, aż opublikuje swoje badania dzisiaj, zamiast rozpocząć pracę natychmiast po poprawkach Clubhouses, aby uhonorować pełne 45-dniowe okno informacyjne, które wyznaczyła dla startupu. Firma posiada program do zgłaszania błędów za pośrednictwem zewnętrznego dostawcy HackerOne.

Inni badacze, którzy współpracowali z Clubhouse przy ujawnianiu informacji dotyczących bezpieczeństwa i żądaniach danych w ramach kalifornijskiej ustawy o ochronie prywatności konsumentów, twierdzą, że firma reaguje powoli. Podobnie dziennikarze wysyłający e-maile do głównej skrzynki prasowej Clubhouse zazwyczaj otrzymują automatyczną odpowiedź: „Zespół Clubhouse otrzymuje przytłaczającą liczbę próśb ze strony mediów. Niestety nie jesteśmy w stanie odpowiedzieć na wszystkie pytania ”.

Whitney Merrill, prawniczka zajmująca się prywatnością i ochroną danych oraz była prawniczka Federalnej Komisji Handlu, mówi, że napotkała te rosnące problemy, gdy próba przesłania żądania CCPA z Clubhouse. Prawo upoważnia mieszkańców Kalifornii do zażądania własnych informacji od firmy zajmującej się danymi i otrzymania ich w ciągu 45 dni. Mimo że Merrill nie jest użytkownikiem Clubhouse, mocno podejrzewała, że ​​firma przechowała niektóre z jej danych, ponieważ zachęca to użytkowników do udostępniania ich książek adresowych w aplikacji. Po tygodniach braku odpowiedzi Merrill mówi, że w końcu była w stanie zobaczyć dane na jej temat przechowywane przez Clubhouse i poprosić o ich usunięcie.

„Nie sądzę, by startupy miały odpowiednie zachęty, by dbać o prywatność i bezpieczeństwo, więc kończy się to dokładnie tymi samymi bitwami, które toczono już z innymi organizacjami 10 lat temu” – mówi Merrill. „I nie chodzi o to, że nikt nie uczy się ich lekcji, ale motywacji do przestrzegania lub dbania o te rzeczy po prostu nie ma”.

Przynajmniej nie ryzykujesz, że zostaniesz zbombardowany przez szalonego ducha Klubu.

Ta historia pojawiła się pierwotnie na wired.com.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook