[ad_1]

یک اشتباه در کلابهاوس به مردم اجازه می دهد تا به صورت نامرئی در اتاق ها کمین کنند

سام ویتنی کابل | گتی ایماژ

“من معمولاً می روم کتی موسوریس ، یک پژوهشگر قدیمی امنیت ، در ماه فوریه در یک اتاق خصوصی در کلابهاوس به من گفت: “من مدام با شما صحبت می کنم ، اما من ناپدید می شوم.” ما همچنان صحبت خواهیم کرد ، اما من می روم. “و سپس آواتار او ناپدید شد. من تنها بودم ، یا به نظر می رسید او از دیجیتال فراتر از آن گفت: “همین.” “این اشتباه است. من یک شبح لعنتی هستم.”

بیش از یک سال از آغاز فعالیت شبکه اجتماعی صوتی Clubhouse می گذرد. در آن زمان ، رشد انفجاری آن با تعدادی از مسائل امنیتی ، محرمانه و سو abuse استفاده صورت گرفت. این شامل یک جفت آسیب پذیری است که اخیراً کشف شده توسط Musuris و قبلاً برداشته شده است که می تواند به مهاجم اجازه دهد در کمین بماند و در اتاق کلاب هاوس شناسایی نشده گوش دهد ، یا بحثی را خارج از کنترل ناظر مختل کند.

تقریباً بدون دانش فنی می توان از این آسیب پذیری بهره برد. تمام آنچه شما نیاز داشتید دو گوشی آیفون با نصب Clubhouse و یک حساب Clubhouse بود. (Clubhouse هنوز فقط برای iOS در دسترس است.) برای شروع حمله ، ابتدا باید از طریق Phone A وارد حساب Clubhouse خود شوید و سپس به اتاق بپیوندید یا راه اندازی کنید. سپس می توانید با شماره تلفن B – که به طور خودکار از تلفن A خارج می شود – به حساب Clubhouse خود وارد شوید و به همان اتاق بپیوندید. مشکلات از همین جا شروع شد. تلفن A صفحه ورود به سیستم را نشان می دهد ، اما به طور کامل ظاهر نمی شود. شما همچنان به اتاقی که در آن بودید به صورت زنده ارتباط برقرار خواهید کرد. هنگامی که از یک اتاق در Phone B “خارج شوید” ، ناپدید خواهید شد ، اما می توانید با روحیه تلفن A ارتباط برقرار کنید.

موسوری روی صفحه سمت راست نبود ، اما شبح او در کلابهاوس باقی مانده است.
بزرگنمایی / موسوری روی صفحه سمت راست نبود ، اما شبح او در کلاب هاوس باقی ماند.

لیلی هی نیومن خانه باشگاهی

موسوری همچنین دریافت كه یك هكر می تواند با استفاده از سازوكارهای فنی بیشتر حمله یا تغییرات را در آن انجام دهد. اما این واقعیت که این کار به راحتی انجام می شود ، اهمیت ضرر را تأکید می کند. موسوریس حمله استراق سمع را “Stillergeist” و حمله قطع کننده را “Bombhee Banshee” خواند.

از آنجا که این آسیب پذیری برای هر اتاق وجود داشته است ، وی اظهار داشت که این ضعف بدترین حالت برای کلابهاوس است ، زیرا این پلتفرم برای رفع مشکلات حریم خصوصی ، آزار و اذیت ، سخنان نفرت انگیز و سایر موارد سو abاستفاده کار می کند. نمی دانید چه کسی به یک مکالمه گوش می دهد یا مجبور است یک اتاق را ببندد زیرا شما نمی توانید یک شخص نامرئی را از گفتن خواسته های او برای برنامه چت صوتی جلوگیری کنید.

پس از آنکه موسوریس یافته های خود را در اوایل ماه مارس به شرکت ارائه داد ، وی گفت که کلابهاوس بلافاصله پاسخی نداد و حل کامل این مسئله چندین هفته طول کشید. سرانجام ، کلابهاوس به موسوریس توضیح داد که او دو اشکال مربوط به کشف را وصله کرده است. با یک اصلاح این اطمینان حاصل شد که شرکت کنندگان در ارواح همیشه خفه شده اند و نمی توانند اتاق را بشنوند ، حتی اگر در آن سرگردان باشند و اساساً آنها را در برزخ کلاب هاوس به دام بیندازند. با تصحیح خطای دوم ، مشکلی در نمایشگر حافظه پنهان حل شد ، بنابراین کاربران در صورت ورود به دستگاه دیگر ، به طور کامل تری از دستگاه قدیمی خارج می شوند. موسوریس می گوید که وی خود تنظیمات را کاملاً تأیید نکرده است ، اما توضیح منطقی است.

سخنگوی کلاب هاوس در بیانیه ای گفت: “ما از همکاری محققانی مانند کتی که به ما در شناسایی چندین خطا در تجربه کاربر کمک کردند و به ما اجازه دادند سریع آنها را برطرف کنیم تا آسیب پذیری را قبل از اینکه کاربران تحت تأثیر قرار بگیرند ، برطرف کنیم.” “ما از ادامه همکاری با جامعه امنیت و رازداری در حالی که به رشد خود ادامه می دهیم استقبال می کنیم.”

Musuris منتظر انتشار تحقیقات خود بود ، به جای انتشار مستقیم آن بلافاصله پس از تعمیرات Clubhouses ، برای احترام به پنجره 45 روزه افشای کامل برای راه اندازی. این شرکت از طریق فروشنده شخص ثالث HackerOne برنامه پاداش اشکال دارد.

https://www.youtube.com/watch؟v=TtfdpXop8g4

محققان دیگری که با Clubhouse در زمینه افشای امنیت و درخواست داده ها از طریق قانون حریم شخصی مصرف کنندگان در کالیفرنیا کار کرده اند ، می گویند که این شرکت در پاسخگویی کند عمل کرده است. به همین ترتیب ، روزنامه نگارانی که به صندوق ورودی اصلی کلابهاوس ایمیل ارسال می کنند معمولاً پاسخ خودکار دریافت می کنند: “تیم کلاب هاوس تعداد غالب درخواست های رسانه ای را دریافت می کند. متأسفیم ، ما نمی توانیم به همه سالات پاسخ دهیم. “

ویتنی مریل ، وكیل حفظ حریم خصوصی و حفاظت از داده ها و وكیل سابق كمیسیون تجارت فدرال ، می گوید او در حالی كه در حال تلاش برای درخواست CCPA است با کلاب هاوس این قانون به ساکنان کالیفرنیا این حق را می دهد که اطلاعات خود را از یک شرکت داده بخواهند و ظرف 45 روز آن را دریافت کنند. گرچه مریل یک کاربر کلاب هاوس نیست ، اما به شدت مشکوک است که این شرکت برخی از داده های خود را ذخیره می کند زیرا کاربران را به اشتراک کتاب آدرس خود با این برنامه دعوت می کند. پس از هفته ها پاسخ ندادن ، مریل گفت که سرانجام قادر به دیدن داده هایی بود که کلاب هاوس در مورد او نگهداری می کرد و درخواست حذف آن را داشت.

مریل گفت: “من فکر نمی کنم انگیزه های مناسبی برای شرکت های نوپا برای مراقبت از حریم خصوصی و مسائل امنیتی وجود داشته باشد ، بنابراین در پایان شما همان نبردهایی را می کنید که 10 سال پیش با سازمان های دیگر درگیر بودند.” . “و نه اینکه هیچ کس درس خود را نمی آموزد ، بلکه هیچ انگیزه ای برای مراقبت از این موارد وجود ندارد.”

حداقل دیگر خطر این را ندارید که توسط روح دیوانه وار Clubhouse توسط Banshee بمباران شوید.

این داستان در ابتدا در سایت wired.com منتشر شد.



[ad_2]

منبع: tarjome-news.ir