پاورتل/ کاربران کلاب هاوس تا چندی پیش میتوانستند با استفاده از یک باگ بهصورت مخفی در رومها حضور داشته باشند و بدون اجازه در بحثها شرکت کنند.
رشد انفجارگونهی کلاب هاوس در مدت تنها یک سال پس از راهاندازی باعث شده است این شبکهی اجتماعی با انواع مشکلات امنیتی و حریم خصوصی و باگها دستوپنجه نرم کند. یکی از جدیدترین این آسیبپذیریها که بهتازگی برطرف و بهصورت عمومی افشا شده است، باگی بود که به کاربران اجازه میداد بهصورت مخفی در رومها حضور داشته باشند و بدون اجازهی مدیران (مادریتورها) در بحثها شرکت کنند.
کیتی مسورس، محقق امنیتی که اولین بار متوجه این باگ شده بود، در مصاحبه با وایرد میگوید سوء استفاده از این آسیبپذیری نیازی به دانش فنی نداشت و کافی بود یک اکانت کلاب هاوس و دو گوشی مجهز به این نرمافزار در اختیار میداشتید.
برای پیادهسازی این حمله ابتدا باید بهوسیلهی گوشی اول به یک روم ملحق و سپس وارد همان اکانت کلاب هاوس در گوشی دوم میشدید؛ این کار باعث میشد بهصورت خودکار در گوشی جدید وارد همان روم شوید. کلاب هاوس نیز بهظاهر حساب کاربری شما از اپ گوشی اول را خارج میکرد و صفحهی Log In را به نمایش میگذاشت؛ اما در عمل ارتباط کاربر با روم در گوشی اول همچنان برقرار بود.
-
مبدل Mini Displayport به VGA/HDMI یوگرین مدل MD108
خرید محصول -
دستبند زنانه مدل مگنتی طرح قلب کد ۷۹۲ مجموعه ۲ عددی
۲۸,۹۰۰ ﷼ انتخاب گزینهها -
کلاه کاسکت ردلاین مدل MATT BCK W
۴,۲۵۰,۰۰۰ ﷼ انتخاب گزینهها -
شارژر دیواری مدل AC-5EB
خرید محصول -
طبق بوش فلزی ۶۰۳۰ مدل P131 مناسب برای پراید بسته ۲ عددی
اطلاعات بیشتر -
ادو پرفیوم مردانه ریو کالکشن مدل Lalique Noir حجم ۱۰۰ml
خرید محصول -
ادو تویلت مردانه داویدف مدل Silver Shadow حجم ۱۰۰ میلی لیتر
خرید محصول -
چسب چوب سینا مدل SW800 وزن ۵۰ گرم
اطلاعات بیشتر
حال اگر کاربر با حساب کاربری خود در گوشی دوم از روم خارج میشد، میتوانست بدون اینکه اثری از وی در روم باقی بماند و مادریتور بتواند جلوی حضور او را بگیرد، همچنان با گوشی اول در آن حضور داشته باشد و در بحث شرکت کند.
مسورس همچنین متوجه شده بود که هکرها میتوانستند با استفاده از مکانیزمهایی با جزئیات فنی بیشتر، گونههای دیگری از همین حمله را صورت دهند؛ هرچند دلیل اصلی اهمیت این آسیبپذیری این بود که کاربران عادی نیز بهسادگی میتوانستند از آن سوء استفاده کنند.
مسورس یافتههای خود را اوایل مارس (حدود دو ماه پیش) در اختیار کلاب هاوس گذاشته بود و اگرچه پاسخ آنها سریع نبود، درنهایت پس از گذشت چند هفته، دو باگ نرمافزاری که این آسیبپذیری را ممکن میساخت، برطرف شد.
از آنجایی که مسورس پس از یافتن آسیبپذیری، برای برطرف کردن آن ۴۵ روز به استارتاپها فرصت میدهد، روز گذشته برای اولینبار وجود این باگ را بهصورت عمومی افشا کرد.