abril 22, 2024

Un error de la casa club permitió a las personas esconderse de manera invisible en las habitaciones

Un error de la casa club permitió que las personas se escondieran de manera invisible en las habitaciones

Sam Whitney | Cableado | imágenes falsas

“Básicamente, voy “Seguir hablando contigo, pero desapareceré”, me dijo Katie Moussouris, una investigadora de seguridad desde hace mucho tiempo en una habitación privada en el Clubhouse, en febrero “. Hablaremos más, pero me iré ”. Y luego su avatar desapareció. Estaba solo, o al menos eso es lo que parecía.“ Así es ”, dijo desde el más allá digital.“ Ese es el error. Soy un maldito fantasma “.

Ha pasado más de un año desde que debutó la red social de audio Clubhouse. Durante ese tiempo, su crecimiento explosivo vino acompañado de una gran cantidad de preocupaciones sobre seguridad, privacidad y abuso. Esto incluye un par de vulnerabilidades descubiertas recientemente, descubiertas por Moussouris y ahora corregidas, que podrían haber permitido que un atacante se escondiera y escuchara en una sala del Clubhouse sin ser detectado o interrumpir verbalmente una discusión más allá del control del moderador.

La vulnerabilidad también podría explotarse prácticamente sin conocimientos técnicos. Todo lo que necesitaba eran dos iPhones con Clubhouse instalado y una cuenta de Clubhouse. (Clubhouse todavía solo está disponible en iOS). Para lanzar el ataque, primero debe iniciar sesión en su cuenta de Clubhouse en el teléfono A y luego unirse o iniciar una sala. Luego inicie sesión en su cuenta Clubhouse en el teléfono B, que automáticamente cerrará su sesión en el teléfono A y se unirá a la misma sala. Ahí es donde empezaron los problemas. El teléfono A mostraría una pantalla de inicio de sesión pero no cerraría la sesión por completo. Aún tendrías una conexión en vivo con la habitación en la que estabas. Una vez que “salga” de la misma habitación en el teléfono B, desaparecerá, pero podría mantener su conexión fantasma en el teléfono A.

En la captura de pantalla de la derecha, Moussouris se había ido, pero su fantasma Clubhouse permaneció.
Acercarse / En la pantalla de la derecha, Moussouris se había ido, pero su fantasma Clubhouse permaneció.

Lily Hay Newman | Casa club

Moussouris también descubrió que un pirata informático podría haber lanzado el ataque, o variantes, utilizando mecanismos más técnicos. Pero el hecho de que se pueda hacer con tanta facilidad subraya la importancia del defecto. Moussouris llama al ataque de intercepción “Stillergeist” y al ataque de interrupción “Banshee Bombing”.

Debido a que la vulnerabilidad existía en todas las habitaciones, argumenta que la debilidad representó el peor de los casos para Clubhouse, ya que la plataforma trabaja para abordar las preocupaciones de privacidad, el acoso, el discurso de odio y otros abusos. No saber quién está escuchando una conversación o tener que cerrar una habitación porque no puedes evitar que una persona invisible diga lo que quiere son situaciones de pesadilla para una aplicación de chat de audio.

Después de que Moussouris presentó sus hallazgos a la compañía a principios de marzo, dice que Clubhouse no respondió de inmediato y que tomó algunas semanas solucionar el problema por completo. Finalmente, Clubhouse le explicó a Moussouris que arreglaron dos errores relacionados con el descubrimiento. Una solución aseguró que todos los asistentes fantasmas estuvieran siempre en silencio y no pudieran escuchar una habitación incluso si estuvieran en ella, esencialmente atrapándolos en el purgatorio de la Casa Club. La segunda corrección de errores solucionó un problema de visualización de la caché, por lo que los usuarios cierran más completamente la sesión en un dispositivo antiguo si inician sesión en otro. Moussouris dice que ella no validó completamente las correcciones por su cuenta, pero que la explicación tiene sentido.

“Agradecemos la colaboración de investigadores como Katie, que nos ayudaron a identificar algunos errores en la experiencia del usuario y nos permitió abordarlos rápidamente para eliminar cualquier vulnerabilidad antes de que los usuarios se vieran afectados”, dijo un portavoz de Clubhouse en un comunicado. “Damos la bienvenida a la colaboración continua con la comunidad de seguridad y privacidad a medida que continuamos creciendo”.

Moussouris esperó para publicar su investigación hoy en lugar de publicarlo inmediatamente después de las correcciones de Clubhouse, para honrar todo el período de divulgación de 45 días que estableció para comenzar. La compañía tiene un programa de recompensas por errores a través del proveedor externo HackerOne.

Otros investigadores que han colaborado con Clubhouse en divulgaciones de seguridad y solicitudes de datos a través de la Ley de Privacidad del Consumidor de California dicen que la compañía ha tardado en responder. Del mismo modo, los periodistas que envían un correo electrónico a la bandeja de entrada de prensa principal de Clubhouse suelen recibir una respuesta automática: “El equipo de Clubhouse está recibiendo una gran cantidad de consultas de los medios de comunicación. Lamentablemente, no podemos responder a todas las consultas. “

Whitney Merrill, abogada de protección de datos y privacidad y ex abogada de la Comisión Federal de Comercio, dice que ha encontrado estos dolores de crecimiento mientras tratando de presentar una solicitud CCPA con Casa Club. La ley permite a los residentes de California solicitar su información a una empresa de datos y recibirla en un plazo de 45 días. Aunque Merrill no es un usuario de Clubhouse, sospecha fuertemente que la compañía tiene algunos de sus datos, porque empuja a los usuarios a compartir sus libretas de direcciones con la aplicación. Después de semanas sin respuesta, Merrill dice que finalmente pudo ver los datos que Clubhouse tiene sobre ella y solicitar que se borren.

“No creo que existan los incentivos adecuados para que las startups se preocupen por cuestiones de privacidad y seguridad, por lo que terminas librando exactamente las mismas batallas que ya se libraron con otras organizaciones hace 10 años”, dice Merrill. “Y no es que nadie esté aprendiendo la lección, pero los incentivos para cumplir o preocuparse por estas cosas simplemente no existen”.

Al menos ya no corres el riesgo de ser bombardeado por un loco fantasma de la Casa Club, Banshee.

Esta historia apareció originalmente en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *