پاورتل/ کاربران کلاب هاوس تا چندی پیش میتوانستند با استفاده از یک باگ بهصورت مخفی در رومها حضور داشته باشند و بدون اجازه در بحثها شرکت کنند.
رشد انفجارگونهی کلاب هاوس در مدت تنها یک سال پس از راهاندازی باعث شده است این شبکهی اجتماعی با انواع مشکلات امنیتی و حریم خصوصی و باگها دستوپنجه نرم کند. یکی از جدیدترین این آسیبپذیریها که بهتازگی برطرف و بهصورت عمومی افشا شده است، باگی بود که به کاربران اجازه میداد بهصورت مخفی در رومها حضور داشته باشند و بدون اجازهی مدیران (مادریتورها) در بحثها شرکت کنند.
کیتی مسورس، محقق امنیتی که اولین بار متوجه این باگ شده بود، در مصاحبه با وایرد میگوید سوء استفاده از این آسیبپذیری نیازی به دانش فنی نداشت و کافی بود یک اکانت کلاب هاوس و دو گوشی مجهز به این نرمافزار در اختیار میداشتید.
برای پیادهسازی این حمله ابتدا باید بهوسیلهی گوشی اول به یک روم ملحق و سپس وارد همان اکانت کلاب هاوس در گوشی دوم میشدید؛ این کار باعث میشد بهصورت خودکار در گوشی جدید وارد همان روم شوید. کلاب هاوس نیز بهظاهر حساب کاربری شما از اپ گوشی اول را خارج میکرد و صفحهی Log In را به نمایش میگذاشت؛ اما در عمل ارتباط کاربر با روم در گوشی اول همچنان برقرار بود.
-
پایه نگهدارنده گوشی موبایل و تبلت مدل sa50
خرید محصول -
لپ تاپ ۱۲.۵ اینچی لنوو مدل ThinkPad X270
خرید محصول -
هدفون بی سیم مدل i9S-TWS
خرید محصول -
ست تی شرت و شلوارک پسرانه خرس کوچولو مدل ۲۰۱۱۱۹۰-۴۳
خرید محصول -
لپ تاپ ۱۷ اینچی اچ پی مدل ZBook 17 G5 Mobile Workstation – O
خرید محصول -
لوازم تناسب اندام دنیای تی آر ایکس مدل PRO SYS
خرید محصول -
لپ تاپ ۱۵.۶ اینچی ایسوس مدل R565EP-BQ459
۳۶,۷۷۰,۰۰۰ ﷼ انتخاب گزینهها -
محافظ صفحه نمایش مدل AW40 GUG 01to مناسب برای اپل واچ ۴۰ میلی متری
خرید محصول
حال اگر کاربر با حساب کاربری خود در گوشی دوم از روم خارج میشد، میتوانست بدون اینکه اثری از وی در روم باقی بماند و مادریتور بتواند جلوی حضور او را بگیرد، همچنان با گوشی اول در آن حضور داشته باشد و در بحث شرکت کند.
مسورس همچنین متوجه شده بود که هکرها میتوانستند با استفاده از مکانیزمهایی با جزئیات فنی بیشتر، گونههای دیگری از همین حمله را صورت دهند؛ هرچند دلیل اصلی اهمیت این آسیبپذیری این بود که کاربران عادی نیز بهسادگی میتوانستند از آن سوء استفاده کنند.
مسورس یافتههای خود را اوایل مارس (حدود دو ماه پیش) در اختیار کلاب هاوس گذاشته بود و اگرچه پاسخ آنها سریع نبود، درنهایت پس از گذشت چند هفته، دو باگ نرمافزاری که این آسیبپذیری را ممکن میساخت، برطرف شد.
از آنجایی که مسورس پس از یافتن آسیبپذیری، برای برطرف کردن آن ۴۵ روز به استارتاپها فرصت میدهد، روز گذشته برای اولینبار وجود این باگ را بهصورت عمومی افشا کرد.