俱乐部错误让人们隐形房间

2021-04-23 22:41:29

“基本上,我要跟你说话,但我会消失,"长期安全研究员Katie Moussouris在二月份在私人俱乐部房间告诉我。 “我们'仍然在说话,但我已经走了。”然后她的头像消失了。我是一个人,或者至少是它似乎的似乎。 “那是它,"她从数字超越中说。 "那个'这个错误。我是他妈的鬼。“

它'自音频社交网络俱乐部举行以来已超过一年。在那个时候,它的爆炸性增长已经存在于安全,隐私和滥用问题的艰难问题。包括一个新披露的漏洞,由Moussouris发现,现在可以允许攻击者潜伏并在俱乐部室内倾听未被发作或口头扰乱超出主持人的讨论。

漏洞也可以利用几乎没有技术知识。所有所需的是两个拥有俱乐部房屋的iPhone和一个俱乐部账户。 (Clubhouse仍然只在iOS上提供)要启动攻击,您将首先登录手机A上的Clubhouse帐户,然后加入或启动房间。然后您将您的Clubhouse帐户登录到电话B上,这将自动在手机上注销 - 并加入同一个房间。那些问题开始的地方&#39。电话A会显示登录屏幕,但不会完全注销。你&#39

Moussouris还发现,使用更多技术机制,黑客可能会发起攻击,或对其的变化。但是,可以这样做的事实很容易强调缺陷的重要性。 Moussouris称窃听攻击“斯蒂格氏派”和中断攻击“Banshee轰炸”。

由于任何房间存在漏洞,她认为,由于平台处理隐私问题,骚扰,仇恨言论和其他滥用,因此弱点代表了俱乐部房间的最坏情况。不知道谁'在谈话中听谁,或者不得不关闭一个房间,因为你可以' t停止一个看不见的人来说,是一个他们想要的东西,是一个音频聊天应用程序的噩梦情况。

在Mousouris于三月初向公司提交了调查结果之后,她说,俱乐部屋不会立即回应,并且需要几个星期的时间来解决这个问题。最终,俱乐部会议向Moussouris解释为它修补了与查找相关的两个错误。一个修复确保任何鬼魂参与者总是静静,也可以听到一个房间,即使他们在它中徘徊,基本上陷入俱乐部炼狱中。第二个错误修复解决了缓存显示问题,因此如果用户登录另一个,用户更全面地记录在旧设备上。 Moussouris说,她曾经完全验证过自己,但解释是有道理的。

“我们赞赏像凯蒂这样的研究人员的合作,帮助我们在用户体验中确定了一些错误,并让我们迅速解决这些用户在任何用户受到影响之前的任何漏洞,”俱乐部发言人在一份声明中表示。 “我们欢迎与安全和隐私社区继续合作,因为我们继续发展。”

Moussouris今天等待发布她的研究,而不是在Clubhouses'修正后立即生活,以纪念她为启动设置的完整为期45天的披露窗口。该公司通过第三方供应商Hackerone拥有Bug Bounty计划。

通过加利福尼亚州的安全披露和数据请求合作的其他研究人员通过加州消费者隐私法案表示,该公司的回应缓慢。同样,记者通过电子邮件发送主俱乐部新闻收件箱通常会自动收到:“Clubhouse团队正在收到压倒性的媒体请求。不幸的是,我们无法回应所有询问。“

Whitney Merrill,隐私和数据保护律师和前联邦贸易委员会律师表示,她遇到了这些日益增长的痛苦,同时尝试使用Clubhouse提交CCPA请求。法律赋予加州居民从数据公司提供自己的信息并在45天内收到。即使Merrill ISN' T一个俱乐部用户,她强烈怀疑该公司举行了一些数据,因为它促使用户与应用程序分享他们的地址簿。 Merrill表示,Merrill表示,她最终能够看到数据俱乐部持有她并要求删除。

“我不认为有初期的激励措施来关心隐私和安全问题,所以你最终会在10年前与其他组织的完全相同的战斗争斗,”美林说。 “这并不是没有人在学习他们的课程,而是符合要求或关心这些事情的激励措施并不是没有。”

至少你不再冒着疯狂的俱乐部鬼魂轰炸的禁止炸毁的风险。